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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/FROO/00188 



I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments,): 

| | the international application as originally filed. 

|^| the description, pages ll^2 t as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of 

pages , filed with the letter of 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-24 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



10 January 2001 (1 0.01. 200 H 



| | the drawings, 



sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

I I the description, pages 

I I the claims, Nos. 



I I the drawings, sheets/fig 



- | I This report has been established as if (some of) the amendments had not been made, since they have been considered 
* — I to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 

4. Additional observations, if necessary: 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 

Novelty (N) Claims 1-24 YES 

Claims NO 



Inventive step (IS) Claims 



1-24 YES 



Claims NO 



Industrial applicability (I A) Claims 



1-24 YES 



Claims NO 



Citations and explanations 

The invention relates to a method (claim 1) and a system 
(claims 9 and 17) for proving the authenticity of an 
entity, and/or the integrity of a message associated 
therewith, to a verifier entity, using a series of steps 
involving commitment calculations by a witness device, the 
reception of challenges by the witness, and the 
calculation of responses by the witness for verification 
by the verifier. The invention further relates to a 
verifier device (claim 21) using the method. 

Prior art: 

Document EP-A-0 311 470, cited in the application, 
describes such a method wherein an entity known as a 
'trusted authority' assigns an identity to each so-called 
'witness' entity and calculates the RSA signature thereof; 
during a customisation process, the trusted authority 
provides the witness with an identity and a signature. 
Thereafter, the witness states: "Here is my identity; I 
know its RSA signature". The witness proves that it knows 
the RSA signature of its identity without disclosing it. 
The public RSA verification key distributed by the trusted 
authority enables a so-called 'verifier' entity to verify 
that the RSA signature matches the stated identity without 
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said signature being disclosed to said entity. The 
mechanisms that use this method operate "without knowledge 
transfer", meaning that the witness does not know the 
private RSA key with which the trusted authority signs a 
large number of identities. The method uses private values 
Qi and public values Gi linked by a generic equation 
Gi.Gi v = 1. mod. N (where v is a public exponent). 



Problem: 



The workload resulting from RSA arithmetic operations 
leads to excessively long calculation times for smart card 
applications . 



Invention : 



The method does not use the RSA signature and calculates 
the commitments R, challenges d and responses R from the 
public/private values G± and Qi defined according to the 
features of claim 1. 

None of the documents cited in the international search 
report discloses or suggests the calculation steps defined 
in claim 1. In particular, EP-A-0 792 044 (X document) 
also relates to a challenge/response authentication method 
but it uses RSA technology. 

Therefore, the subject matter of claim 1 involves an 
inventive step (PCT Article 33(3)). 

Independent claims 9 and 17 refer to claim 1 in terms of 
systems comprising the witness device that calculates 
commitments, receives challenges and calculates responses. 
Therefore, they too comply with the requirements of PCT 
Article 33. 

Independent claim 21 relates to a verifier device using 
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calculations Gi and Qi specific to the method of the 
invention. Since these calculations are not disclosed or 
suggested in the cited documents, said claim also complies 
with the requirements of PCT Article 33. 

The other claims are dependent claims and thus also 
comply, as such, with the requirements of novelty and 
inventive step of the PCT. 
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VIII. Certain observations on the international application 

The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

The following claims do not fully comply with the 
requirements of clarity of PCT Article 6, for the 
following reasons : 

1 . Independent claim 1 : 

Since the verification step performed by the 
Verifier' entity is not indicated in the claim, the 
definition of the subject matter of the invention 
("method for proving the authenticity of an entity 
and/or the integrity of a message to a verifier 
entity") is unclear, given that the features in the 
claim merely relate to the calculations of the 
commitment /challenge/response values useful in the 
authentication method according to the invention. 

2. Independent claims 9 and 17 contain the same 
features as claim 1, but express .them in terms of a 
system and a terminal device, respectively, 
comprising the witness device that calculates the 
commitments and the responses to received 
challenges. Therefore, the objection raised in 
paragraph 1 above is also applicable to these 
claims . 

3. Independent claim 21 relates to a verifier device 
for interaction with the witness or terminal device. 
However, instead of containing device or system 
features, it contains method or process features, 
some of which are also external to the system 
claimed ("unknown to the verifier device"). 



Form PCT/IPEA/409 (Box VIII) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 




I n^^^i on al application No. 
PCT/FR 00/00188 



VIII. Certain observations on the international application 



Furthermore, this claim does not comprise the 
challenge generating means necessary for the 
authentication process described in the description 
as a whole. Therefore, independent claim 21 fails to 
comply with the requirements of PCT Article 6 in 
combination with PCT Rule 6.3(b), according to which 
an independent claim must contain all of the 
technical features essential for the definition of 
the invention. 
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RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 

5343ter.W0 


POUR SUITE volT te notification de transmission du rapport de recherche Internationale 
(formutaire PCT/IS A/220) et le cas echearrt, le point 5 ct-apres 

A DONNER 


Demands Internationale n° 
PCT/FR 00/00188 


Date du depot IntemationalQour/mois/annte) 

27/01/2000 


(Date de p no rite (la plus ancienne) 
(jour/mois/ann6e) 

21/01/1999 


Deposant 

FRANCE TELECOM et a! . 



Le present rapport de recherche intemationale, etabli par radministration chargee de la recherche intemationale, est transmis au 
deposant confonmement a ('article 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche intemationale comprend 4 feuilles. 

|X| II est aussi accompagne cfune copie de chaque document relatjf a l'6tat de la technique qui y est cite. 



1 . Base du rapport 

a En ce qui conceme la langue, la recherche intemationale a ete effectuee sur la base de la demande intemationale dans la 
langue dans laquelle elle a et6 ottposee, sauf indication contraire donnee sous le meme point 

| | la recherche intemationale a et£ effectuee sur la base dune traduction de la demande intemationale remise a radministration. 

b. En ce qui conceme les sequences de nucleotides ou d'acldes amines divulguees dans la demande intemationale (le cas echearrt), 
la recherche intemationale a 6t6 effectuee sur la base du listage des sequences : 
| | 00 menu dans la demande intemationale, sous forme ecrite. 

deposee avec la demande intemationale, sous forme dechrffrable par ordinateur. 

remis ulteneurement a radministration, sous forme ecrite. 

remis ulterieurement a radministration, sous forme dechrffrable par ordinateur. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



La declaration, seton laquelle le listage des sequences presents par ecrit et foumi urterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete foumie. 

La declaration, sefon laquelle les informations enregistrees sous forme dechiffrable par orcfinateur sont identiques a celles 
du listage des sequences presents par ecrtt, a ete foumie. 

II a 6t6 estJme que certalnes revendlcatlons ne pouvalent pas falre I'objet d'une recherche (voir le cadre I). 
II y a absence d'untte de I'lnventlon (voir le cadre II). 



4. En ce qui conceme le titre, 

pT| le texte est approuve tel qui I a ete remis par le deposant 

[ | Le texte a ete etabli par radministration et a la teneur suivante: 



En ce qui conceme I'abreg6, 

| — | le texte est approuve tel qu'il a ete remis par le deposant 

ryi le texte (reproduit dans fe cadre III) a ete etabli par radministration confonmement a la regie 38.2b). Le deposant peut 
LAJ presenter des observations a radministration dans un deiai cfun mois.a compter de la date d'expedrtion du present rapport 
de recherche intemationale. 

La figure des desslns a pubiier avec I'abreg6 est la Figure n° 



I [ suggeree par le deposant. \~~\ Aucune des figures 

n'est a pubiier 

I I parce que le deposant n'a pas suggere de figure. 

I I parce que cette figure caracterise mieux I'inverttion. 
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Cadre III TEXTE DE L ABREG 



Cemance iniematicnaje rr 

PCT/FR 00/OCI88 



e du point 5 de la premiere feuille) 



Abrege 

La preuve est etablie au moyen des parametres suivants: 

- m couples de valeurs privees Q, et publiques P :> m>1 

- un module public n constitue par le produit de t facteurs premiers p., f>2, 

- un exposant public v, 
lies par des relations du type: 

G, . Q, v =1 mod n ou G f = Q, v mod n. 
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A. CLASS EM ENT DE L'OBJET DE LA OEIIANOE 

CIB 7 H04L9/32 



Seion la classification Internationale des brevets (C1B) ou a la fote seton la classification nattonaJe et la CIB 



a DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Documentation minim ate consuttee (systems de classification sulvi des sym botes de dassemerrt) 

CIB 7 H04L 



Documentation consuttee autre que la documentation minimale dans la mesure ou ces documents relevant dee domaines sur lesquete a porte la recherche 



Base de don noes electron ique consuttee au cours de la recherche Internationale (nom de la base de donnees, et si realisable, termed de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Catdgorte* 


Identification des documents cites, avec, le cas echeant, HndJcation des passages pertinents 


no. dee re vendi cations vteees 


X 


EP 0 792 044 A (FUJI XEROX CO LTD) 


1,9,17, 




27 aoQt 1997 (1997-08-27) 


22 


A 




2,10,18, 






23 




colonne 9, ligne 39 -colonne 12, Hgne 38 






figure 3 




A 


WO 96 33567 A (GEMPLUS CARD INT ; NACCACHE 


3,4,11, 




DAVID (FR)) 24 octobre 1996 (1996-10-24) 


12,19, 






20,24 




page 2, ligne 27 -page 4, llgne 12 






page 15, ligne 31 -page 18, ligne 17 




A 


W0 89 11706 A (NCR CO) 


3,4,11, 




30 novembre 1989 (1989-11-30) 


12,19, 






20,24 




page 10, ligne 2 -page 11, ligne 6 






page 12, ligne 21 -page 14, ligne 6 






-/-- 





Voir la suite du cadre C pour la tin de la fete des documents 



Les documents de families de brevets sont intfques en annexe 



° Categories speclatea de documents cites: 

"A" document definissant I'etat general de la technique, non 

considere com me particuOerement pertinent 
"E* document anterteur, mais publle a la date de depot International 

ou apres cette date 

"L" document pouvant Jeter un doute sur une revendlcation de 
pnbrite ou cite pour determiner la date de publication cfune 
autre citation ou pour une raJson speclate (telle qu'Indlquee) 

"O" document se referant a une divulgation orate, a un usage, a 
une exposition ou tous autres moyens 

"P" document pubfle avant la date de depot intemationaJ, mais 
posterieurernent a la date de priortte revendiquee 



*T" document utterieur publle apres la date de depot International ou la 
date de priorite et n'appartenenant pas a I'etat de la 
technique pertinent, mais cits pour comprendre le principe 
ou la theorie constituant la base de (Invention 

*X' document particuUerement pertinent; I'lnven tion revendiquee ne peut 
etre consJderee comma nouvelle ou com me impii quant une activite 
inventive par rapport au document considere isolement 

"Y* document partteullerement pertinent; I'lnven tion revendkiuee 

ne peut etre consideree com me impilquant une activite Inventive 
torsque le document est associe a un ou piusteurs autres 
documents de meme nature, cette combinaison etant evldente 
pour une personne du metier 

"&* document qui fait partte de la meme famine de brevets 



Date a laquelle la recherche Internationale a ete effectivement achevee 

31 mars 2000 


Date d'expecfition du present rapport de recherche Internationale 

19/04/2000 


Nom et adresse postale de raomlnlstration charges de la recherche Internationale 
Office European des Brevets, P.B. 5618 Patenttaan 2 
NL - 2280 HV Rijswljk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 


Fonctionnaire autonae 

Masche, C 
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C<eufto) DOCUMENTS CONSIDERES COMME PERTINENTS 



Cfit6Q0fto " ktenttflcfltlofi ct03 documonta dtos, ovocyte coo ^choant, Tlndlcatlondos pass&gos portlnonts 



no. das re verifications vtaees 



EP 0 311 470 A (TELEDIFFUSION FSE ; FRANCE 

ETAT (FR); PHILIPS NV (NO) 

12 avrll 1989 (1989-04-12) 

cite dans la demande 

abrege 

colonne 12, llgne 30 -colonne 13, ligne 55 

QUISQUATER J -J ET AL: "FAST DECIPHERMENT 
ALGORITHM FOR RSA PUBLIC-KEY CRYPTOSYSTEM" 
ELECTRONICS LETTERS, 
vol. 18, no. 21, 

14 octobre 1982 (1982-10-14), pages 
905-907, XP000577331 

ISSN: 0013-5194 
page 906, colonne de gauche, ligne 32 - 
ligne 61 



1,9,17, 
22 



1,6,9, 
14,17 



Fomuitatre PCT/ISA/210 (eutta de la deuxttme (eulQo) QuOtel 1892) 
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RenseJgnemente retettts aux mes^^feie families da brevets 



Document brevet cite 
au rapport de recherche 



Date de 
publication 



De mand s Internationale No 

00/00188 



Membre(s) da la 
femAle de brevets) 



Date de 
publication 



EP 0792044 



27-08-1997 



JP 
US 



10247905 A 
5987134 A 



14-09-1998 
16-11-1999 



WO 9633567 A 24-10-1996 FR 2733378 A 25-10-1996 

FR 2733379 A 25-10-1996 

EP 0766894 A 09-04-1996 

JP 10506727 T 30-06-1998 

US 5910989 A 08-06-1999 



W0 8911706 A 30-11-1989 AU 622915 B 30-04-1992 

AU 3733589 A 12-12-1989 

CA 1321649 A 24-08-1993 

EP 0374225 A 27-06-1990 

JP 2504435 T 13-12-1990 

US 4935962 A 19-06-1990 



EP 0311470 


A 


12-04-1989 


FR 


2620248 A 


10-03-1989 








AT 


83573 T 


15-01-1993 








AU 


2197188 A 


23-03-1989 








CA 


1295706 A 


11-02-1992 








DE 


3876741 A 


28-01-1993 








FI 


884082 A,B, 


08-03-1989 








JP 


1133092 A 


25-05-1989 








KR 


9608209 B 


20-06-1996 








US 


5218637 A 


08-06-1993 








US 


5140634 A 


18-08-1992 
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International Application No 



A. CLASSIFICATION OF SUBJECT MATTEfi 

IPC 7 H04L9/32 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classification symbols) 

IPC 7 H04L 



Documentation searched other than minimum documentation to the extent that such documents are included in the fields searched 



Electronic data base consulted during the International search (name of data base and, where practical, search terms used) 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category • 


Citation of document, with Indication, where appropriate, of the relevant passages 


Relevant to claim No. 


X 


EP 0 792 044 A (FUJI XEROX CO LTD) 


1,9,17, 




27 August 1997 (1997-08-27) 


22 


A 




2,10,18, 






23 




column 9, line 39 -column 12, line 38 






figure 3 




A 


U0 96 33567 A (GEMPLUS CARD INT ; NACCACHE 


3,4,11, 




DAVID (FR)) 24 October 1996 (1996-10-24) 


12,19, 






20,24 




page 2, line 27 -page 4, line 12 






page 15, line 31 -page 18, line 17 




A 


WO 89 11706 A (NCR CO) 


3,4,11, 




30 November 1989 (1989-11-30) 


12,19, 






20,24 




page 10, line 2 -page 11, line 6 






page 12, line 21 -page 14, line 6 






-/- 





Further documents are listed In the continuation of box C 



Patent family members are listed In annex. 



° Special categories of cited documents : 

"A* document defining the general state of the art which Is not 

considered to be of particular relevance 
*E" earlier document but published on or after the international 

filing date 

"L" document which may throw doubts on priority ctaim(s) or 
which Is cited to establish the publication date of another 
citation or other special reason (as specified) 

"O" document referring to an oral disclosure, use, exhibition or 
other means 

a P" document published prior to the international filing date but 
later than the priority date claimed 



T" later document published after the international filing date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

"X" document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document Is taken alone 

"Y" document of particular relevance; the claimed invention 

cannot be considered to Involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person ski [Jed 
In the art. 

document member of the same patent family 



Date of the actual completion of the Internationa) search 

31 March 2000 


Date of mailing of the international search report 

19/04/2000 


Name and mailing address of the ISA 

European Patent Office, P.B. 5616 Paterrttaan 2 
NL-2280HV Rijswijk 
Tel. (461-70) 340-2040, Tx. 31 651 epo nl. 
Fax: (+61-70) 340-3016 


Authorized officer 

Masche, C 
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Category ° Citation of document, with indfcation.where appropriate, of the relevant passages 



Relevant to claim No. 



EP 0 311 470 A (TELEDIFFUSION FSE ; FRANCE 

ETAT (FR); PHILIPS NV (NL)) 

12 April 1989 (1989-04-12) 

cited in the application 

abstract 

column 12, line 30 -column 13, line 55 

QUISQUATER J -J ET AL: "FAST DECIPHERMENT 
ALGORITHM FOR RSA PUBLIC-KEY CRYPT0SYSTEM" 
ELECTRONICS LETTERS, 
vol. 18, no. 21, 

14 October 1982 (1982-10-14), pages 
905-907, XP000577331 

ISSN: 0013-5194 
page 906, left-hand column, line 32 - line 
61 



1,9,17, 
22 



1,6,9, 
14,17 
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International Application No 

P^^R 00/00188 


Patent document 
cited in search report 


^ Publication 
date 


Patent family 
members) 


Publication 
date 



EP 0792044 A 27-08-1997 OP 10247905 A 14-09-1998 

US 5987134 A 16-11-1999 



W0 9633567 A 24-10-1996 FR 2733378 A 25-10-1996 

FR 2733379 A 25-10-1996 

EP 0766894 A 09-04-1996 

JP 10506727 T 30-06-1998 

US 5910989 A 08-06-1999 



W0 8911706 A 30-11-1989 AU 622915 B 30-04-1992 

AU 3733589 A 12-12-1989 

CA 1321649 A 24-08-1993 

EP 0374225 A 27-06-1990 

OP 2504435 T 13-12-1990 

US 4935962 A 19-06-1990 



EP 0311470 


A 


12-04-1989 


FR 


2620248 


A 


10-03-1989 








AT 


83573 


T 


15-01-1993 








AU 


2197188 


A 


23-03-1989 








CA 


1295706 


A 


11-02-1992 








DE 


3876741 


A 


28-01-1993 








FI 


884082 


A,B, 


08-03-1989 








OP 


1133092 


A 


25-05-1989 








KR 


9608209 


B 


20-06-1996 








US 


5218637 


A 


08-06-1993 








US 


5140634 


A 


18-08-1992 



Fomn PCT/ISA/210 (patent fam&y annex) (July 1992) 



TRAITE DEjCOOPERATION EN M ATI ERE DE BREVETS 
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NOTIFICATION DE TRANSMISSION DU 
RAPPORT DE RECHERCHE INTERNATIONALE 
OU DE LA DECLARATION 

(r&gle 44.1 du PCT) 


Date d'expedrtion 

(jour/mois/annee) j g /04/2000 


Rsfsrence du dossier du deposant ou du mandataine 

5343ter.W0 


POUR SUITE A DONNER 

voir les paragraph es 1 et 4 ct-apres 


Demands Internationale n° 

PCT/FR 00/00188 


Date du depot international 
Qour/mois/ann4e) r^j jq j /2000 


Deposant 

FRANCE TELECOM et al . 



3. 



1 . [^] II est notifie au deposant que le rapport de recherche intematJonale a ete etabli et lui est transmis ci-joint 

Depot de modifications et d'une declaration selon I 'article 19 : 

Le deposant peut, s'il le souhaite, modifier les revendications de la demands Internationale (voir la regie 46): 

Quand? Le delai dans lequel les modifications doivent etre de posses est de deux mots a compter de la date de 

transmission du rapport de recherche intemationale ; pour plus de precisions, voir ce pendant les notes 
figurant sur la feuille cTaccompagnement 

Ou? Directement aupres du Bureau international de TOMPI 

34, chemin des Colombettes 
121 1 Geneve 20, Suisse 
n° de telecopieun (41-22)740.14.35 

Pour des Instructions plus detalllees, voir les notes sur la feuille tfaccompagnement 

2. I | II est notifie au deposant qull ne sera pas etabli de rapport de recherche intemationale et la declaration a cet effet, p revue 
" — I a I'article 17.2)a), est transmise ci-pint- 

□ En ce qui conceme la reserve pouvant etre formulee, conformement a la regie 40.2, a regard du paiement cfune ou 
de plusieurs taxes addtionnelles, il est notifie au deposant que 

□ la reserve ainsi que la decision y relative ont ete transmises au Bureau international en meme temps que la requete 
du deposant tendant a ce que le texte de la reserve et celui de la decision en question soient notifies aux offices 
designer. 

| | la reserve n'a encore fait I'objet daucune decision; des qu'une decision aura ete prise, te deposant en sera avise. 
Mesure(s) consecutJve(s) : II est rappele au deposant ce qui suit 

Peu apres rexpiration d'un delai de 18 mols a compter de la date de priorite, la demande intemationale sera publiee par le 
Bureau international. Si le deposant souhaite eviterou olfferer la publication, il doit fairs parvenir au Bureau international 
une declaration de retrart de la demande intemationale, ou de la revendi cation de priorite, conformement aux regies 
90bisA et 9Qbis.3, respectivement, avant rachevement de la preparation technique de la publication intemationale. 

Dans un delai de 19 mols a compter de la date de priorite, le deposant doit presenter la demande d'examen preliminaire 
international s'il souhaite que I'ouverture de la phase nationals soit reportee a 30 mois a compter de la date de priorite 
(ou mdme au-dela dans certains offices). 

Dans un delai de 20 mols a compter de la date de priorite, le deposant doit accomplir les demarches presc rites pour I'ouverture 
de la phase nationale aupres de tous les offices designee qui n'ont pas ete elus dans la demande d'examen preliminaire 
international ou dans une election ulterieure avant rexpiration d'un delai de 19 mois a compter de la date de priorite ou 
qui ne pouvaient pas etre elus pares qu'ils ne sont pas lies par le chaprtre It. 





Norn et adresse postals de ('administration charges de la 
recherche intemationale 

Office Europsen des Brevets, P.B. 5818 Paten tiaan 2 

NL-2280 HV Rijswijk 
WJj Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 

Fax: (+31 -70) 340-301 6 


Fonctionnaire autorise 

Hans Pettersson 



Formulaire PCT/ISA/220 1998) 



(Voir les notes sur la feuille d'accompagnement) 



NOTE 



^^LATIVES AU FORMULAIRE PCT/ISA/^^ 



Led present es notes sont destinees a donner les instructions essentieltes concernant le depot de modifications selon 
I' article 19. Les notes sont f on dees sur les exigences du Trarte de cooperation en matiere de brevets (PCT), du reglemerrt 
d'execution et des instructions admin istratrves du PCT. En cas de divergence entre les presentes notes et ces exigences, ce sont 
ces demteres qui priment. Pour de plus am pies renseignements, on peut aussi consulter le Guide du deposant du PCT, qui est une 
publication de I'OMPI. 



Dans les presentes notes, les termes "article*, 'regie* et Instruction" renvois nt aux dispositions du trait e, de son reglement 
d'execution et des instructions administratives du PCT, respectivement. 

INSTRUCTIONS CONCERNANT LES MODIFICATIONS SELON L' ARTICLE 19 

Apres reception du rapport de recherche intern at ion ale, le deposant a la possibility de modifier une fois les revendications 
de la demande intern at ion ale. On notera ce pendant que, com me toutes les parties de la demande intemationale (revendications, 
description et dessins) peuvent etre modifiees au cours de la procedure cfexamen prelim in aire international, il n'est generalement 
pas necessaire de de poser de modifications des revendications selon ('article 1 9 sauf, par example, au cas ou le deposant souhaite 
que ces demieres soient puUiees aux fins d'une protection proviso! re ou a une autre raison de modifier les revendications avarrt 
la publication intemationale. En outre, il convient de rappeler que I'obtention dune protection provisoire n'est possible que dans 
certains Etats. 



Quelle* parties de la demande Intemationale peuvent etre modffiees? 

Selon rarticte 19, les revendications exclusivement. 

Durant la phase intern attonate, les revendications peuvent aussi etre modifiees (ou modifiees a nouveau) selon 

('article 34 aupres de radministration chargee de I'examen prelim in aire international. La description et les dessins 

ne peuvent etre modifiees que selon rarticte 34 aupres de radministration chargee de I'examen preliminaire international. 

Lore de I'ouverture de la phase nation ale, toutes les parties de la demande intemationale peuvent etre modifiees selon 
('article 28 ou, le cas echeant, selon I'article 41 . 



Quand? Dans un delai de deux mois a compter de la date de transmission du rapport de recherche intemationale ou de 16 mois 

a compter de la date de pnonte, selon Techeance la plus tardive II convient ce pendant de noter que les modifications 
seront reputees avoir ete recues en temps voulu si el les parvtennent au Bureau international apres ('expiration du delai 
applicable mais avant I'achevement de (a preparation technique de la publication intemationale (regie 46.1). 



Ou ne pas deposer les modifications? 

Les modifications ne peuvent etre deposees qu'aupres du Bureau intemationai; el les ne peuvent etre deposees ni 
aupres de 1'offtce reoepteur ni aupres de radministration chargee de la recherche intemationale (regie 46.2). 

Loraqu'une demande cfexamen preliminaire international a ete/est deposee, voir plus loin. 



Comment? Soit en supprimant entierement une ou ptusieurs revendications, soit en ajoutant une ou plusieurs revendications 
nouvelles ou encore en modifiant le texte d'une ou de ptusieurs des revendications telles que deposees. 

Une feuille de remplacement doit etre remise pour chaque feuilte des revendications qui, en raison d'une ou de 
plusieurs modifications, differe de la feuilte initialement deposee. 

Toutes tes revendications figurant sur une feuilte de remplacement doivent etre numerotees en chiffres arabes. Si 
une revendication est supprimee, il n'est pas obligatoire de renumeroter les autres revendications. Chaque fois que 
des revendications sont renumerotees, elles doivent I'etre de facon continue (instruction 205 b)) 

Les modifications doivent etre effectuees dans la langue dans laquelle la demande Internationale est publtee. 



Quels documents dolvent/peuvent acoompagner les modifications? 
Lettre (Instruction 205. b)): 

Les modifications doivent etre accompagnees d'une lettre. 

La lettre ne sera pas publiee avec la demande intemationale et les revendications modifiees. Elle ne doit pas etre 
confondue avec la "declaration selon I'article 19.1)" (voir plus loin sous "Declaration selon I'article 19.1)"). 

La lettre doit etre redlgee en anglais ou en francats, au cholx du deposant. Cependant, si la langue de la demande 
Internationale est P anglais, la lettre dolt etre redlgee en anglais; si la langue de la demande Intemationale est le 
francats, la lettre dolt etre redlgee en francals. 



Notes relatives au formulaire PCT/1SA/220 (premiere feuille) (janvier 1994) 



NOTI 




LATIVES AU FORMULAIRE PCT/IS- 




t(suite) 



La lettre doit indiquer les differences exist ant entre les revendications tetles que deposees et les re veridical ions telles 
que modifiees. Elle doit indiquer en particulier, pour chaque r even die at ion figurant dans la demande intemationale 
(etant entendu que des indications identiques concemartt plusieurs revendications pen vent etre groupees), si 



t) la revendication n'est pas mocfifiee; 

it} la revendication est supprimee; 

iti) la revendication est nouvelle; 

rv) la revendication rem pj ace une ou plusieurs revendication 3 telles que deposees; 

v) ta revendication est te resultat de la division d'une revendication telle que deposee. 



Les examples sulvants lllustrent la manlere dont les modifications dol vent etre expliquees dans la lettre 
d'accompagncmont: 

1 . [Lorsque le nombre des revendication 3 deposees initialement s'elevait a 46 et qu*a la suite d'une modification de 
oertaines revendications il s'eleve a 51]: 

"Revendications 1 a 1 5 remplacees par les revendications modifiees port ant les m ernes numeros; revendications 
30, 33 et 36 pas modifiees; nouvelles revenrfcations 49 a 51 ajoutees." 

2. [Lorsque le nombre des revendications deposees initialement s'elevait a 1 5 et qu'a la suite d'une modification de 
toutes les revendications il s'eleve a 1 1 J: 

RevencScations 1 a 15 remplacees par les revendications modifiees 1 a 11 " 

3. [Lorsque le nombre des revendications deposees initialement s'elevait a 1 4 et que les modifications consistent a 
supprimer certaines revendications et a en ajouter de nouvelles]: 

"Revendications 1 a 6 et 1 4 pas modifiees; revendications 7 a 1 3 supprimees; nouvelles revendications 1 5,16 et 
1 7 ajoutees/ ou 

"Revencticattons 7 a 13 supprimees; nouvelles revendications 15, 16 et 17 ajoutees; toutes les autres revendications 
pas modifiees." 



4. [Lorsque plusieurs sortes de modifications sont faites]: 

"Revendications 1 -10 pas modifiees; revendications 11 a 1 3, 1 8 et 19 supprimees; revendiations 14, 15 et 1 6 
remplacees par la revendication modifiee 14; revendication 17 divisee en revendications modifiees 15, 16 et 1 7; 
nouvelles revendications 20 et 21 ajoutees." 



"Declaration selon r article 19.1)" (Regie 46.4) 

Les modifications peuvent etre accompagnees d'une declaration expliquant les modifications et precisant I'incidence 
que ces dernieres peuvent avoir sur la description et sur les dessins (qui ne peuvent pas etre modifies selon 
I'article 19.1)). 

La declaration sera publiee avec ta demande intemationale et les revendications modifiees. 
Elle dolt etre redlgee dans la langue dans laquelle la demandelntematlonale est publlee. 

Elle doit etre succincte (ne pas de passer 500 mots si elle est etablie ou traduite en anglais). 

Elle ne doit pas etre con fondue avec la lettre expliquant les differences existant entre les revendications telles que 
deposees et les revendications tetles que modifiees, et ne la rem pi ace pas. Elle doit figurer sur une feuilte distincte et 
doit etre munie d*un titre permettant de ('identifier com me telle, const it ue de preference des mots "Declaration selon 
I'article 19.1)" 

Elle ne doit contenir aucun commerttaire denigrant relatif au rapport de recherche intemationale ou a la pertinence des 
citations que ce dernier contient. Elle ne peut se referer a des citations se rapport ant a une revendication donnee et 
contenues dans le rapport de recherche intemationale qu'en relation avec une modification de cette revendicatton. 



Si, au moment du depot de modifications effectuees en vertu de I'article 1 9, une demande d'examen preliminaire 
international a deja ete presentee, le deposant doit de preference, lors du depot des modifications aupres du Bureau 
international, deposer egalement une copie de ces modifications aupres de ('administration chargee de I'examen 
preliminaire international (voir la regie 62.2a), premiere phrase). 



Consequence au regard de la traduction de la demande Intematlonalelors de Co u vertu re de la phase Rationale 



L'attention du deposant est appelee sur le fait qu'il peut avoir a remettre aux offices design es ou elus, lore de I 'ou vertu re 
de la phase natron ale, une traduction des revendications telles que modifiees en vertu de f article 1 9 au lieu de la 
traduction de3 revendications telles que deposees ou en plus de celle-ci. 

Pour plus de precisions sur les exigences de chaque office designs ou etu, voir le volume II du Guide du deposant 
du PCT. 



Consequence du fait qu*une demande d'examen preliminaire international ait deja ete presentee 



Notes relatives au formula] re PCT/1SA/220 (deuxieme feuille) (janvier 1994) 



TRATTE DE COOPERATION EN MAT1ERE DE BREVETS 



Expediteur: L'ADMINISTRATION S^FtGEE DE 

L'EXAMEN PRELIMINAIRE INTERNATIONAL 



Deslinataire: 

VIDON, PATRICE 

Cabinet Patrice VIDON 

Immeuble Germanium 

80 Avenue des Buttes de Coesmes 

35700 Rennes 

FRANCE 



f 09/889958 

PCT 



NOTIFICATION DE TRANSMISSION DU 
RAPPORT D' EXAM EN PRELIMINAIRE 
INTERNATIONAL 

(regie 71.1 du PCT) 



Date d'expedition 
(jour/mois/ann6e) 



15.05.2001 



Reference du dossier du deposant ou du mandataire 
5343.WO 


NOTIFICATION IMPORTANTE 


Demande intemationale No. 
PCT/FR00/00188 


Date du depot international (jour/mois/ann6e) 
27/01/2000 


Date de priorite Qour/mois/ann6e) 
27/01/1999 


Deposant 

FRANCE TELECOM et al. " 



2. 



II est notifie au deposant que I'administration chargee de Texamen preliminaire international a etabli le rapport 
d'examen preliminaire international pour la demande intemationale et le lui transmet ci-joint, accompagne, le 
cas echeant, de ces annexes. 



Une copie du present rapport et, le cas echeant, de ses annexes est transmise au Bureau international pour 
communication a tous les offices elus. 



3. Si tel ou tel office elu I'exige, le Bureau international etablira une traduction en langue anglaise du rapport (a 
I'exclusion des annexes de celui-ci) et la transmettra aux offices interesses. 



4. RAPPEL 

Pour aborder la phase riationale aupres de chaque office elu, le deposant doit accomplir certains actes (depot 
de traduction et paiement des taxes nationales) dans le delai de 30 mois k compter de la date de priorite (ou 
plus tard pour ce qui concerne certains offices) (article 39.1) (voir aussi le rappel envoye par le Bureau 
international dans le formulaire PCT/IB/301). 

Losrqu'une traduction de la demande intemationale doit etre remise k un office elu, elle doit comporter la 
traduction de toute annexe du rapport d'examen preliminaire international. II appartient au deposant d'etablir la 
traduction en question et de la remettre directement & chaque office elu interesse. 

Pour plus de precisions en ce qui concerne les delais applicables et les exigences des offices elus, voir le 
Volume II du Guide du deposant du PCT. 



Nom et adresse postale de I'adminstration chargee de I'examen 
preliminaire international 

— Office europeen des brevets 

SSS D-80298 Munich 

Mgfl Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax:+49 89 2399-4465 



Fonctionnaire autorise 
Barrio Baranano, A 

Tel.+49 89 2399-8621 



Formulaire PCT/IPEA/416 (juillet 1992) 



TRAITE D^OOPERATION EN MATIER^|E BREVETS 

PCT 

RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 



Reference du dossier du deposant ou du 
mandataire 

5343.WO 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande intemationale n° 
PCT/FR00/00188 


Date du depot international (jour/mois/annde) 
27/01/2000 


Date de priorite (jour/mois/annee) 
27/01/1999 


Classification intemationale des brevets (CIB) ou a la fois classification nationale et CIB 
H04L9/32 


Deposant 

FRANCE TELECOM et al. 



1 . Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 6 feuilles, y compris la presente feuille de couverture. 

IS II est accompagne d 'ANN EXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
I'administration chargee de I'examen preliminaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent 28 feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I S Base du rapport 



-II — 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 





d'application industrielle 
Absence d'unite de I'invention 

Declaration motivee selon I'article 35(2) quant k la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications & I'appui de cette declaration 



Observations relatives a la demande intemationale 



Date de presentation de la demande d'examen preliminaire 
intemationale 

19/07/2000 



Date d'achevement du present rapport 



15.05.2001 



Nom et adresse postale de I'administration chargee de 
I'examen preliminaire international: 
Office europeen des brevets 

D-80298 Munich 
TeL +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 



Fonctionnaire autorise 
Cretaine, P 

N° de telephone +49 89 2399 8828 




Formulaire PCT/lPEA/409 (feuille de couverture) (janvier 1994) 



RAPPORT D' EXAM EN 
PRELIMINAIRE INTERNATIONAL 




Demande international n° PCT/F R00/00 1 88 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande Internationale (ies feuilles de remplacement qui ont ete remises 
a I'office recepteur en reponse a une invitation faite conformement a I'article 14 sont considerees dans le present 
rapport comme "initialement depos£es" et ne sont pas jointes en annexe au rapport puisqu'elies ne contiennent 
pas de modifications (regies 70. 16 et 70. 1 7)): 

Description, pages: 

1-52 version initiale 

Revendications, N°: 

1-24 regue(s) le 10/01/2001 avec la lettre du 09/01/2001 

2: En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de Padministration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de ('administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de Pexamen preliminaire internationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 

internationale (le cas 6ch6ant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 



□ contenu dans la demande internationale, sous forme ecrite. 



□ remis ulterieurement k I'administration, sous forme ecrite. 

□ remis ulterieurement k I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a ete foumie. 

□ La declaration, selon laquelle les informations enregistrSes sous dechiffrable par ordinateur sont identiques a 
celles du listages des sequences Presente par ecrit, a £te fournie. 

4. Les modifications ont entraine I'annulation : 

□ de la description, pages: * 

□ des revendications, n 03 : 

□ des dessins, feuilles : 



55.3). 



□ 



depose avec la demande internationale, sous forme dechiffrable par ordinateur. 



Formulaire PCT/IPEA/409 (cadres l-VIII, feuille 1) Guillet 1993) 



RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande internationale n° PCT/FR00/001 88 



5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 
comme allant au-del& de I'expose de I'invention tel qu'il a ete depose, comme il est indique ci-apr&s (regie 
70.2(c)) : 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 



6. Observations complementaires, le cas 6cheant : 



V. Declaration motivee selon Particle 35(2) quant a la nouveaute, Tactivite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1 . Declaration 



Nouveaute 


Oui : 


Revendications 


1.24 




Non : 


Revendications 




Activite inventive 


Oui : 


Revendications 


1-24 




Non : 


Revendications 




Possibilite d'application industrielle 


Oui : 


Revendications 


1-24 




Non : 


Revendications 





2. Citations et explications 
voir feuille separee 



VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent enti&rement sur la description : 
voir feuille separee " * " ~ 



Formulaire PCT/IPEA/409 (cadres l-VIII, feuille 2) Quillet 1998) 



RAPPORT D'EXAMEN Demande internationale n° PCT/FR00/001 88 

PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



Concernant le point V 

Declaration motivee selon Particle 35(2) quant a la nouveaute. lactivite inventive 
et la possibility d'application industrielle: citations et explications a 1'appui de 
cette declaration 

L'invention concerne un procede (revendication 1) et un systeme (revendications 9 et 
17) destines a prouver a une entite controleur I'authenticite d'une entite et/ou I'integrite 
d'un message associe a cette entite, utilisant des etapes successives de calculs 
d'engagement par un dispositif temoin, de reception de defis par le temoin, et de 
calculs de reponses par le temoin pour controle par le controleur. Elle conceme aussi 
un dispositif controleur (revendication 21) utilisant ce procede. 

Etat de la technique: 

EP-A-0 31 1 470, cite dans la demande, decrit un tel procede selon lequel une entite 
appelee "autorite de confiance" attribue une identite a chaque entite appelee "temoin" 
et en calcule la signature RSA; durant un processus de personnalisation, I'autorite de 
confiance donne identite et signature au temoin. Par suite, le temoin proclame: "Voici 
mon identite; j'en connais la signature RSA.". Le temoin prouve sans la reveler qu'il 
connaTt la signature RSA de son identite. Grace a la cle publique de verification RSA 
distribute par I'autorite de confiance, une entite appelee "controleur" verifie sans en 
prendre connaissance que la signature RSA correspond a I'identite proclamee. Les 
mecanismes utilisant ce procede se deroulent "sans transfert de connaissance": le 
temoin ne connait pas la cle privee RSA avec laquelle I'autorite de confiance signe un - 
grand nombre d'identites. Le procede fait appel a des valeurs privees Qi et des valeurs 
publiques Gi liees par une equation generique Gi.Gi v = 1. mod. n(v etant un exposant 
public). 

Probleme: 

La charge de travail liee aux operations arithmetiques RSA entrame des temps de 
calculs trop importants pour les applications type carte a puce. 
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Invention: 

Le procede n'utilise pas la signature RSA et calcule des engagements R, defis d et 
reponses R a partir de valeurs publiques /privees Gj et Qj definis selon les 
caracteristiques de la revendication 1. 

Aucun des documents cites dans le rapport de recherche international ne divulgue ou 
suggere les etapes de calcul definies dans la revendication 1 . En particulier, 
EP-A-0 792 044 (cat. X) se rapporte aussi a un procede d'authentification par 
defi/reponse, mais utilisant la technologie RSA. 

L'objet de la revendication 1 implique par consequent une activite inventive (article 33 
PCT). - - 

Les revendications independantes 9 et 17 correspondent a la revendication 1 en 
termes de systemes comportant le dispositif temoin calculant les engagements, 
recevant les defis et calculant les reponses. Elles remplissent done aussi les conditions 
de I'article 33 PCT. 

La revendication independante 21 est relative a un dispositif controleur utilisant les 
calculs de G( et Qj propres au procede de invention. Ces calculs n'etant ni divulgues ni 
suggeres par les documents cites, cette revendication remplit aussi les conditions de 
I'article 33 PCT. 

Les autres revendications sont dependantes et satisfont done egalement, en tant que 
telles, aux conditions requises par le PCT en ce qui concerne la nouveaute et Pactivite - 
inventive. 
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Concernant le point VIII 

Observations relatives a la demande internationale 

Les revendications suivantes ne remplissent pas entierement les conditions de Particle 
6 PCT relatives a la clarte pour les raisons suivantes: 

1 . revendication independante 1 : 

L'etape de controle par I'entite "controleur" n'etant pas indiquee dans la 
revendication, la designation de I'objet de I'invention ("precede destine a prouver 
a une entite controleur I'authenticite d'une entite et/ou I'integrite d'un message") 
n'est pas claire, les caracteristiques enoncees dans la revendication se rapportant 
uniquement aux calculs des valeurs d'engagements/defis/reponses utilisables 
dans le procede d'authentification selon I'invention. 

2. Les revendications independantes 9 et 17 contiennent les memes caracteristiques 
que la revendication 1 mais exprimees respectivement en terme de systeme et de 
dispositif terminal comportant le dispositif temoin calculant des engagements et 
des reponses a des defis regus. L' objection mentionnee au paragraphe 1 ci- 
dessus est done aussi valables pour ces revendications. 

3. La revendication independante 21 se rapporte a un dispositif controleur destine a 
cooperer avec le dispositif terminal ou temoin. Elle ne comporte cependant 

aucune caracteristique de dispositif ou systeme mais des caracteristiques de 

methode ou procede, dont certaines sont de plus des caracteristiques exterieures 
au systeme revendique ("inconnus du dispositif controleur"). De plus cette 
revendication ne comportent pas les moyens de production de defi qui sont 
necessaires au processus d'authentification decrit dans la description dans son 
ensemble. La revendication independante 21 ne remplit done pas la condition 
visee a Tarticle 6 PCT en combinaison avec la regie 6.3 b) PCT, qui prevoient 
qu'une revendication independante doit contenir toutes les caracteristiques 
techniques essentielles a la definition de I'invention. 
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Revendications 
Revendications 

1* Proced6 destine a prouver a une entite controleur, 

- F authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite, 
au moyen: 

- de m couples de valeurs priv6es Q l9 Q 2 , ... Q m et publiques G 19 G 2 , 
... G m , m etant superieur ou egal a 1, ou des parametres derives de ceux-ci, 

- d'un module public n constitue par le produit de f facteurs premiers 
Pi? P2> ••• Pf > ^ etant superieur ou egal a 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 

Qi V = 1 • m °d n ou Gi = Qj v mod n ; 
v designant un exposant public ; 

ledit procede met en ceuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers Pj et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Q { et/ou des f.m composantes j (Q^ j s Q. mod pj) des valeurs 
privees Qj et de T exposant public v ; 

- le temoin calcule des engagements R daris Panneau des entiers 
modulo n ; chaque engagement etant calcule en effectuant des operations 
du type 

Ri^r^modpi 

ou ^ est un alea associe au nombre premier p t tel que 0 < r { < pj , chaque r s 
appartenant a une collection d'aleas {r a , r 2 , ... r f } , puis en appliquant la 
methode des restes. chinois, 

- le temoin repoit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d x ci-apres appeles defis 616mentaires ; le temoin calcule a partir de 
chaque defi d une reponse D en effectuant des operations du type : 

A s r, . Q iA dl . * ... ^modpi 
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puis en appliquant la methode des restes chinois ; 

ledit procede etant tel qu'il y a autant de reponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}. 

2. Procede selon la revendication 1 destine a prouver r authenticity 
d'une entity appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus sp6cifie selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de defi d 

- le controleur, apres avoir re$u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et 
transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des r6ponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 

- le demonstrateur transmet chaque r£ponse D au controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques G x , G 2 , ... 
G m , calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' = Gj dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 
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R' =D V /G X dl . G 2 * ... G m dm . modn, 
le controleur verifie que chaque engagement reconstrait R 5 reproduit tout 
ou partie de chaque engagement R qui lui a ete trans mis, 
cas ou le demonstrates a transmit l'integralite de chaque engagement 
R 

dans le cas ou le demonstrates a transmis Pintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G 1? G 2 , 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R = Gj dl . G 2 * ... G m *** . D v mo d n 
ou a une relation du type, 

R=D V /G 1 dl . G 2 d2 . ... G m dm . modn . 
3. Procede selon la revendication 1 destine a prouver a une entite 
appelee controleur Pintegrite d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un j eton T, 

- le demonstrateur transmet le jeton T au controleur, 

-le controleur, apres avoir re$u un jeton T, produit des defis d en nombre 
egal au nombre d' engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 
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- le demonstrateur transmet chaque reponse D au contrdleur, 

- le controleur, disposant das m valeurs publiques G 1? G 2 , ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstmit 
R> satisfaisant a une relation du type : 

R , = G 1 tU .G 2 d2 ....G m dra .D v modn 

ou a une relation du type : 

R ? = D v /G 1 dl .G 2 d2 ....G m dm . modn 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T% 

- puis le contrSleur verifie que le jeton T> est identique au jeton T transmis. 

4. Precede seldn la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

_„ ladite entite signataire execute P operation de signature en mettant en 
oeuvre les Stapes suivantes : 

♦ etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1 ? 

• etape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d' engagements R, 
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• etape 3 : acte de reponse D 
- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1. 

5. Procede selon la revendication 4 destine a prouver F authenticity 
du message M en controlant, par une entite appelee controleur, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D 9 

• • le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du.type 

R = G a dl . G 2 * G m ta . D v modn 
ou a des relations du type : 

R = JT/G 1 * 1 .G i * z ....G m dm . modn 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

. d = h(M,R) 

• cas oii le controleur dispose des defis d et des reponses D 
dans le cas ou le contr61eur dispose des defis d et des reponses D, 

• • le controleur reconstruct, a partir de chaque defi d et de chaque 
reponse I>, des engagements R' satisfaisant a des relations du type : 

J^ = G 1 dl .G 2 d2 ,^.G m dm .D v modn 
ou k des relations du type : 

R , sD v /G 1 dl .G J dl ....G n dn i modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 
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d = h(M,R 5 ) 

• cas ou le controleur dispose des engagements R et des reponses D 
dans le cas oil le controleur dispose des engagements R et des reponses D, 

• • le controleur applique la fonction de hachage et reconstruit d' 

d'=h(M,R) 

• • le controleur verifie que les engagements R, les defis d 5 et les 
reponses D, satisfont a des relations du type : 

R = G, n . G 2 d ' 2 . .„ G m dm . D v mod n 
ou a des relations du type : 

R = DVG^.G^...G m d,m . modn 

6. Precede selon Tune quelconque des revendications 1 a 5 tel que 
les composantes t , 2 , . . . Q u f des valeurs privees Q u sont des nombres 
tires au hasard a raison d'une composante Q. j (Q^ j = Q. mod pp pour 
chacun desdits facteurs premiers p j? lesdites valeurs privees Qi pouvant 
etre calculees a partir desdites composantes Q t l , Q u 2 Qi, f par la 
methode des restes chinois, 

lesdites valeurs publiques G l5 etant calculees 

• en effectuant des operations du type 

G u = Qu Vmod 'Pj 

• puis en appliquant la m6thode des restes chinois pour etablir G { tel que 

Qi* Qi V = 1 • mod n ou G { s Q. v mod n ; 

7. Precede selon la revendication 6 tel que Texposant public de 
verification v est un nombre premier, 

8. Procede selon Tune quelconque des revendications 1 a 5 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de s6curite plus grand que 1 ; 

ladite valeur publique G t etant le carre gj 2 d'un nombre de base g { inferieur 
aux f facteurs premiers p 15 p^ ... p f ; le nombre de base g { etant tel que les 
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conditions suivantes sont satisfaites: 
aucune des deux equations : 

x 2 = & mod n et x 2 = - g mod n 
n'a de solution en x dans Panneau des entiers modulo n 
et tel que P equation : 

x v = gj 2 mod n 

a des solutions en x dans Panneau des entiers modulo n . 
9. Systeme destine a prouver a un serveur contrdleur, 

- Pauthenticite d'une entite et/ou 

- Pintegrite d'un message M associe a cette entite, 
au moyen: 

- de m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G 15 G 25 
... G m , m etant superieur ou egal a 1, ou des parametres derives de ceux-ci 5 

- d'un module public n constitute par le produit de f facteurs premiers 
Pi, p 2 ? Pf > f etant superieur ou egal a 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 

G s . Q^s 1 . mod n ou G { = Qj v mod n ; 
v designant un exposant public ; 

ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
k microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
premiers p, et/ou des parametres des restes chinois des facteurs premiers 
et/ou du module public n et/ou des m valeurs privees Qj et/ou des £m 
composantes Q u (Q^ = Q.mod pj) des valeurs privees Q t et de Pexposant 
public v ; 

le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 
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- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Fanneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

RiSifmodpj 

ou rj est un alea associe au nombre premier pj tel que 0 < ij < pj , chaque ^ 
appartenant a une collection d'aleas {r^ , r 2 , ... r f } produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres design6s les moyens de 
reception des d6fis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque d&S d comportant m entiers dj ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci-apres d6signes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer apartir de chaque defi d une 
reponse D en effectuant des operations du type : 

A = r, . Q a dI . Qi, 2 « ... ta mod Pl 
puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d' engagements R, chaque 
groupe de nombres R, d, D constituant un triplet not6 {R, d, D}. 

10. Systeme selon la revendication 9 destine a prouver Tauthenticite 
d'une entite appelee demonstrateur a une entite appelee controleur ; 
ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a Tentite demonstrateur, ledit 
dispositif demonstrateur etant ihterconnecte au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la 
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foraie de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesses dans nne carte bancaire a microprocesses, 

- un dispositif controles associe a Pentite controles ; ledit dispositif 
controles se presentant notamment sous la foraie d'un terminal ou d'un 
serveur. distant ; ledit dispositif contrdles comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication infonnatique, au dispositif demonstrates ; 
ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

* - a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrates, via les 
moyens d'interconnexion ; 

- le dispositif demonstrates comporte aussi des moyens de transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrates, pos 

- transmettre tout ou partie de chaque engagement R au dispositif — • — — - 
contr61es, via les moyens de connexion ; 

• etape 2 : acte de defi d 

le dispositif controles comporte des moyens de productions de defis pos 
produire, apres avoir regu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R, 
le dispositif controles comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controles, pos transmettre les 
d6fis d au demonstrates, 

• etape 3 : acte de reponse D 
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les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• etape 4 : acte de controle 
les moyens de transmission du demonstrateur transmettent chaque reponse 
P au contr61eur 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
contrSleur, disposant des m valeurs publiques G„ G 2 , .... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 

R' satisfaisant a une relation du type : 

R' = G x dl . G 2 ^ ... G m im . D v mod n 
ou a une relation du type, 

R'=DVG 1 dl .G 2 d2 ....G in dm .modn, 

les moyens de comparaison du dispositif contrdleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R recus, 
cas oil le demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
Pintegralit6 de chaque engagement R, les moyens de calcul et les moyens 
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de comparaison du dispositif controleur, disposant des m valeurs publiques 
G i5 Q 2 , ... G m3 verifient que chaque engagement R satisfait a une relation 
du type : 

RsGi^.Gj* 52 . ...G m dm .b v modn 

ou a une relation du type, 

R=DVG 1 dl .G 2 d2 ....G m dm .modn. 

11. Systeme selon la revendication 9 destin6 a prouver a une entite 
appelee contrdleur l'integrite d'un message M associe a une entit6 appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a 1' entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a 1' entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter 61ectriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment -via un reseau de 
c ommun ication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'ex^cuter les etapes suivantes' : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
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moyens d'interconnexion ; 

• etape 2 : acte de defi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliqnant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins xm jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir rega le jeton T, les defis d en nombre egal au 
nombre d' engagements R 9 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif contr61eur, pour 
transmettre les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 

d'interconnexion, - ~ - . — 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G x , G 2? ... G m , pour d'une part, calculer a partir de 
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• 



chaque defi d et de chaque reponse D un engagement reconstmit R 9 



ou a une relation du type : 

R' = D V / G x 61 . G 2 " m ... G m . modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ay ant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R' ? un jeton T% 

le dispositif contrdleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re?u. 

12. Systeme selon la revendication 9 destine a produire la signature 
numerique d'un message M, ci apres designe le message signe, par une 
entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte un dispositif signataire associe a 
F entite signataire, ledit dispositif signataire etant interconnects au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, ' ■ 

ledit systeme permettantld'executer les etapes suivantes ; 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 




G m dm .D v modn 
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le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d 'interconnexion; 

• etape 2 : acte de defi d 
le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d' engagements R, 

• etape 3 : acte de reponse D 
les moyens de reception des defis d , re9oivent chaque defi d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

le dispositif t6moin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

. 13. Systeme selon la revendication 11 destine a prouver 

Taufiienticit6 du message M en controlant, par une entite appelee 
controleur, le message signe; 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
r entite contr61eur ; ledit dispositif controleur se presentant notamment 
sous la forme d'un terminal ou d'un serveur distant ; ledit dispositif 
contrSleur comportant des moyens de connexion pour le connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique, notamment via un reseau de communication informatique, au 
dispositif signataire ; 
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ledit dispositif signataire associe a Fentite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif contrSleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant: 
- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type ...... 

R= G x * . G 2 * ... G m . D v modn 
ou a des relations du type : 

R = D v /G 1 dl .G 2 <12 ....G in din . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
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• • les moyens de calcul du dispositif contr61eur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R* satisfaisant a 
des relations du type : 

R' = G X * . G 2 * ... G m to . D v modn 
on a des relations du type : 

R > = D v /G 1 dl .G 2 d2 ....G m din . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les d6fis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d ? tel que 

d' = h (M, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G t « . G 2 d 2 . ... G m dm . D v mod n 
. ou a des relations du type : 

R = D V / G t d l . G 2 d ' 2 . ... G m dm . mod n 
14. Systeme selon Tune quelconque des revendications 9 a 13 tel 
que les composantes t , 2 , ... f des valeurs privees Q k sont des 
nombres tires au hasard a raison d'une composante Qj j (Q kj = Q t mod 
pour chacun desdits facteurs premiers pj, lesdites valeurs privees Q t 
pouvant etre calculees a partir desdites composantes Q i t 9 Q U2 — Qi, f 
la methode des restes chinois, 
lesdites valeurs publiques G l9 etant calcul6es 

• en effectuant des operations du type 
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• puis en appliquant la methode des restes chinois pour etablir G f tel que 
Gi.Q^sl .modnouGiSQ^modn; 

15. Systeme selon la revendication 14 tel que Pexposant public de 
verification v est un nombre premier. 

16. Systeme selon Tune quelconque des revendications 9 a 13 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G f etant le carre g f 2 d'un nombre de base g. inferieur 
aux f facteurs premiers p 15 p 2 , ... p f ; le nombre de base g etant tel que les 
conditions suivantes sont satisfaites : 
aucune deux equations : 

x^sgjinodn et x^-gmodn 

n'a de solution en x dans Fanneau des entiers modulo n 
et tel que 1' equation : 

x v = g 2 mod n 

a des solutions en x dans Panneau des entiers modulo n . 

17- Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire k microprocesseur, destine a prouver a dispositif contrdleur, 

- P authenticity d'une entite et/ou 

- Pintegrite d'un message M associe a cette entity 
aumoyen: 

- de m couples de valeurs privees Q 15 Q 2 , ... Q m et publiques G 1? G 2 , 
... G m 5 m etant superieur ou 6gal a 1, 

- d'un module public n constitue par le produit de f facteurs premiers 
Pi? P2? • • • Pf 5 f ^ant superieur ou egal a 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 
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G|.Qi v sl. mod n ou G t = Q^mod n ; 

v designant un exposant public ; 

ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers Pi et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 
valeurs privees Q f et/ou des £m composantes } (Q u j = Qj mod pj) des 
valeurs privees Q { et de Pexposant public v ; 
le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Panneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

R^r^modpi 

ou r { est un alea associe au nombre premier p x tel que 0 < r t < p t , chaque r t 
appartenant a une collection d'aleas {r x , r 3 , ... r f } produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif t6moin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque d6fi d comportant m entiers dj ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

A s r t . Q w dl . Q 3>2 * mod p; 

puis, en appliquant la m&hode des restes chinois ; 
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- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

fl y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet notd {R, d, D>. 

18. Dispositif terminal selon la revendication 17 destine a prouver 
l'authenticite d'une entite appel6e demonstrateur a une entite appelee 
contrSleur ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a l'entite demonstrateur, ledit dispositif demonstrateur etant 
interconnects au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
.dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif contr61eur associe a l'entite controleur ; ledit 
dispositif contrdleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1 7, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
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apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion, 

• etape 2 et 3 : acte de defi d, acte de reponse D 

les moyens de r6ception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif contrdleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

19. Dispositif terminal selon la revendication 17 destine a prouyer a 
une entite appelee controleur Pintegrite d'un message M associe a une 
entite appelee demonstrateur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a l'entite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits lpgiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, - 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment • via un reseau de communication 
informatique, a un dispositif controleur associe a l'entite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 
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ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

- k chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, . / 

- le dispositif t&noin comporte des moyens de transmission, ci-apres 
design6s les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrates, via les 
moyens d' interconnexion ; 

• etape 2 et 3 : acte de defi d, acte de reponse 

le dispositif demonstrates comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrates, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrates comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrates, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controles, 

les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif demonstrates, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de controle 
les moyens de transmission du demonstrates transmettent chaque reponse 
D au dispositif controles qui procede au controle. 

20. Dispositif terminal selon la revendication 17 destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
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par une entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a 1' entite signataire, ledit dispositif signataire etant interconnects an 
dispositif temoin par des moyens d'interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, elecfromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique;, a un dispositif controleur associe a Fentite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes sxiivantes : 

• etape 1 : acte d'engagement R 

k chaque appel 5 les moyens de calcul des. engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d 'interconnexion; 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres design.es les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
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hachage h ayant comme arguments le message M et chaqixe engagement R 
pour calculer un train binaire et extraire de ce train bioaire des defis d en 
nombre egal au nombre d* engagements R, 
• etape 3 : acte de reponse D 
5 les moyens de reception des defis d re?oivent les defis d provenant du 

dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

10 le dispositif temoin comporte des moyens de transmission, ci-apres d6signes 

les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

21. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 

15 destine a prouver a un serveur controleur, 

- Pauthenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 
aumoyen: 

- de m couples de valeurs privees Q 1? Q 2 , ... Q m et publiques G u G^ 
20 "... G m , m etant superieur ou egal a 1, 

- d'un module public n constitue par le produit de f facteurs premiers 
p 15 p 2> ... p f , f etant superieur ou egal a 2 ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

25 G i . Qi V = 1 . mod n ou G { = Q^mod n ; 

v designant un exposant public ; 

Qj designant une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique Gj . 

22. Dispositif controleur selon la revendication 21 destine a prouver 
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Pauthenticite d'une entite appelee demonstrateur a une entite appetee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associ6 a l'entite 
demonstrateur; 

ledit dispositif controleur pennettant d'executer les etapes suivantes : 

• etape let 2: acte d'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de tout 
oupartie des engagements Rprovenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, chaque defi d 
comportant m entiers dj , ci-apres appeles defis elementaires 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

* etapes 3 et 4 : acte de reponse, acte de contrdle 
le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de reception du dispositif controleur ont repus 
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une partie de chaque engagement les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 15 G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 
5 R J = G 1 dl .G 2 d2 ....G m dm .D v modn 

ou a une relation du type, 

R> s D v / G x . G 2 * . . . G m *" . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R reeus, 
10 cas oil le demonstrateur a transmis Pintegralite de chaque engagement 

R 

dans le cas ou les moyens de reception du dispositif controleur ont re?us 
Fintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
15 G 19 G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 

du type : 

R- Gj dl . G 2 ^ ... G m dm . D v mod n 

ou a une relation du type, 

R= D v / G t dl . G 2 **. ... G m ♦ mod n . 

20 23. Dispositif controleur selon la revendication 21 destine a prouver 

Fintegrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 

25 informatique, a un dispositif demonstrateur associe a 1' entite 

demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 
• etapes 1 et 2 : acte d'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de 
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jetons T provenant du demonstrateur, via les moyens de connexion, 
le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir recu le jeton T, des defis d en nombre egal au 
nombre d' engagements R , chaque defi d coinportant m entiers, ci-apres 
appeles les defis elementaires, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, % 

• etapes 3 et 4 : arte de reponse D, arte de controle 
le dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, disposant des m valeurs publiques G 19 G^ ... G m , pour 
d'une part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' saris faisant a une relation du type : 

R' s Gj 61 . G 2 . . . G m *» . D v mod n 
ou a une relation du type : 

R' =D V / G x a . G 2 a . ... G m *■ . mod n 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton X" au jeton T recu. 

24. Dispositif controleur selon la revendication 21 destine a prouver 
Fauthenticite du message M en controlant, par une entite appelee 
contrSleur, le message signe; 
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le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D ; 

ledit dispositif controleur comportant des moyens de connexion pour le 

connecter electriquement, electromagnetiquement, optiquement pu de 

maniere acoustique, notamment via un reseau de communication 

infoimatique, a un dispositif signataire associe a Pentite signataire ; 

ledit dispositif controleur ayant re$u le message signe du dispositif 

signataire, via les moyens de connexion, 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas oii le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis - 
d, des reponses D ? "■>>• 

• • les moyens de calcul et de comparaison du dispositif contrdleur 
verifient que les engagements R, les d6fis d et les reponses D satisfont a des 
relations du type 

R= G! * . G 2 °. ... G m dm . D v modn 

ou a des relations du type : 

RsDVG 1 d, .G 2 dJ ....G ra dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les d6fis d et les engagements R satisfont a la 
fonction de hachage 
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d = h(M,R) 

• cas ou le contrdleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
5 chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 

des relations du type : 

R'sG 1 dl .G 2 d2 ....G m dia .D v modn 

ou a des relations du type : 

R'=D v /G 1 <a .G 2 d2 ....G m dm . modn 

10 . . les moyens de calcul et de comparaison du dispositif controleur 

verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas ou le contrSleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif contrSleur dispose des engagements R et des 

15 reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 

fonction de hachage et calculent d' tel que 

d' = h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
20 verifient que les engagements R, les defis d' et les reponses D, satisfont a 

des relations du type : 

R= G 1 An . G 2 d ' 2 . ... G m d ' m . D v mod n 

ou a des relations du type : 
R= D v / G t dl . G 2 d2 . ... G m d m . mod n 
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Procede, systeme, dispositif destines a prouver l'authenticite d'une 
entite et/ou Tintegrite et/ou l'authenticite d'un message. 

La presente invention concerne les procedes, les systemes ainsi que les 
dispositifs destines a prouver l'authenticite d'une entite et/ou Tintegrite 
et/ou l'authenticite d'un message. 

Le brevet EP 0 31 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ ,; ou "procede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identite a chaque entite appelee " temoin" et en calcule la signature 
RSA; durant un processus de personnalisation, F autorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
"Voici mon identite ; yen connais la signature RSAT Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribute par 1'autorite de confiance, une 
entite appelee "controleur" verifie sans en prendre connaissance que la 
signature RSA correspond a V identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent "sans transfert de connaissance". Selon le 
procede GQ . le temoin ne connait pas la cle privee RSA avec laquelle 
I 5 autorite de confiance signe un grand nombre d'identites. 
Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille eleves a des puissances de Tordre de 2 16 + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
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procedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant a 
accroTtre la securite des cartes de paiement, les autorites bancaires posent 
un probleme particulierement delicat a resoudre. En effet, il faut traiter deux 
questions apparemment contradictoires : augmenter la securite en utilisant 
des cles de plus en plus longues et distinctes pour chaque carte tout en 
evitant que la charge de travail n'entraine des temps de calcul prohibitifs 
pour les utilisateurs, Ce probleme prend un relief particulier dans la mesure 
ou, en outre, il convient de tenir compte de T infrastructure en place et des 
composants microprocesseurs existants. 

La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du module 
n, cette dependance n'est pas une equivalence, loin s'en faut, comme le 
demontrent les attaques dites "multiplicatives" contre les diverses normes 
de signature numerique mettant en oeuvre la technologie RSA. 
L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologie RSA ; d 'autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour l'entite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 

Procede 

Methode des restes chinois appliquee a la famille GQ 

Plus particulierement, l'invention concerne un procede destine a prouver a 
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une entite controleur, 

- Tauthenticite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G u G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> Pr (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type : 

Gj . Qi v s 1 . mod n ou Gj = Q ; v mod n ; 

Ledit procede met en oeuvre selon les etapes ci-apres definies une entite 
appelee temoin disposant des f facteurs premiers p 4 et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 
valeurs privees Q ; et/ou des f.m composantes Q i(j (Q it } = Qj mod pj) des 
valeurs privees Qiet de l'exposant public v . 

Le temoin calcule des engagements R dans Tanneau des en tiers modulo n. 
Chaque engagement est calcule en effectuant des operations du type 

Ri = rj v mod p { 

ou r; est un alea associe au nombre premier p s tel que 0 < r t < p ; , chaque r { 
appartenant a une collection d'aleas {r, , r 2 , ... r f } , puis en appliquant la 
methode des restes chinois, 

Ainsi, le nombre d'operations arithmetiques modulo p s a effectuer pour 
calculer chacun des engagements R; pour chacun des p t est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le temoin re?oit un ou plusieurs defis d. Chaque defi d comportant m 
entiers d ; ci-apres appeles defis elementaires. Le temoin calcule a partir de 
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chaque defi d une reponse D, en effectuant des operations du type : 

Di = r> . Q itl dl . Cb d2 . ... dm mod Pi 
puis en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p t a effectuer pour 
calculer chacune des reponses Dj pour chacun des p s est reduit par rapport a 
ce qu'il serait si les operations etaient effectuees modulo n. 
Le procede est tel qu'il y a autant de reponses D que de defis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note {R, d, D}. 

Cas de la preuve de 1 'authenticity d'une entite 
Dans une premiere variante de realisation le procede selon 1' invention est 
destine a prouver l'authenticite d'une entite appelee demonstrateur a une 
entite appelee controleur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes suivantes: 

• etape 1 : acte d 'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. Le demonstrateur transmet au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir regu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d'engagements R et transmet 
les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 

Le demonstrateur transmet chaque reponse D au controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 

engagement R 
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Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gi, G 2 , ... 
G m , calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R> = G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R'hDV Gi dl . G 2 d2 . ... G m dm . mod n . 
Le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis. 
Deuxieme cas : le demonstrateur a transmis IMntegralite de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis l'integralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G,, G 2 , ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R s G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

RsD v /G 1 dl ,G 2 d2 — G m dm . mod n . 
Cas de la preuve de Pintegrite d'un message 
dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le procede selon l'invention est destine a prouver a une entite 
appelee controleur l'integrite d'un message M associe a une entite appelee 
demonstrateur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes suivantes: 

• etape 1 : acte d 'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifieci-dessus. 

• etape 2 : acte de defi d 

Le demonstrateur applique une fonction de hachage h ay ant comme 
arguments le message M et tout ou partie de chaque engagement R pour 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46946 



6 



PCT/FR00/00I88 



calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir re?u un jeton T, produit des defis d en 
nombre egal au nombre d 'engagements R et transmet les defis d a u 
demonstrateur. 

♦ etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur Le controleur, 
disposant des m valeurs publiques G|, G 2 , ... G m , calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant a 
une relation du type : 

R' m d dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R' sDVGi -1 . G 2 d2 . ... G m dm . mod n. 
Puis, le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T\ Puis, le controleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numerique d'un message et preuve de son authenticity 
Operation de signature 
Dans une troisieme variante de realisation susceptible d'etre prise en 
combinaison avec 1'une et/ou I 9 autre des autres variantes de realisation, le 
procede selon l'invention est destine a produire la signature numerique d'un 
message M par une entite appelee entite signataire. Ladite entite signataire 
comprend le temoin. 

Ladite entite signataire execute une operation de signature en vue d'obtenir 
un message signe comprenant : 
- le message M, 
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- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entite signataire execute l'operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d 'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 
d'engagements R. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

Operation de controle 
Pour I'authenticite du message M, une entite, appelee controleur, controle 
le message signe. Ladite entite controleur disposant du message signe 
execute une operation de controle en procedant comme ci-apres decrit. 
• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R^Gi dl .G 2 d2 .... G m dm .D v modn 
ou a des relations du type : 

R s D v /G, dI .G 2 d2 ....G m dm . modn 
Puis, le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 
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d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, des 
engagements R 5 satisfaisant a des relations du type : 

R'^G, dl .G 2 d2 ....G m dm .D v modn 
ou a des relations du type : 

R'-DVG, ^G 2 d2 ....G m dm . modn 
Puis, le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h(M,R') 

• cas oii le controleur dispose des engagements R et des reponses D 

Dans le cas ou le controleur dispose des engagements R et des reponses D, 
le controleur applique la fonction de hachage et reconstruit d' 

d' = h(M,R) 

Puis, le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R = Gj d l . G 2 d ' 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D v / Gi " . G 2 d ' 2 . ... G m d m . mod n. 
Cas ou on choisit la valeur privee Q en premier et ou on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le procede selon l'invention est tel que les 
composantes Q M , Q l 2 , ... Q ijf des valeurs privees sont des nombres 
tires au hasard a raison d'une composante Q { j(Q i(i s Q ; mod pp pour 
chacun desdits facteurs premiers pj. Lesdites valeurs privees Qi peuvent 
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etre calculees a partir desdites composantes Q it , , Q i 2 ... Q ; f par la 
methode des restes chinois. Lesdites valeurs publiques G i9 sont calculees en 
effectuant des operations du type 

G ij s Qij v mod Pj 

puis, en appliquant la methode des restes chinois pour etablif G t tel que 

Gj . Qj v s 1 . mod n ou Gj = Q s v mod n ; 
Ainsi, le nombre d'operations arithmetiques modulo p s a effectuer pour 
calculer chacun des G itj pour chacun des pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, le procede selon Tinvention est tel que 
l'exposant public de verification v est un nombre premier. On demontre que 
la securite est equivalente a la connaissance de la valeur privee Q s . 
Cas ou on choisit la valeur publique G en premier et ou on deduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique Gj est le carre g s 2 d*un nombre de base gj inferieur 
aux f facteurs premiers p b p 2 , ... p f . Le nombre de base gj est tel que les 
deux equations : 

x 2 = gimodn et x 2 = - g s mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n et tel que 
1 'equation : 

x v = g ; 2 mod n 
a des solutions en x dans Tanneau des entiers modulo n. 

Systeme 

La presente invention concerne egalement un systeme destine a prouver k 
un serveur controleur, 

- l'authenticite d'une entite et/ou 
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- l'integrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi, p 2 , ... Pr (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs etant lies par des relations 
du type : 

Gj . Q; v s 1 . mod n ou Gj s Q^mod n . 

Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteurs premiers pj et/ou des parametres des restes chinois 
des facteurs premiers et/ou du module public n et/ou des m valeurs privees 
Qi et/ou des f.m composantes Q i( j (Q i( j a Q { mod pj) des valeurs privees Q t 
et de 1 'exposant public v. Le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
1'anneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

R; = Ti v mod ^ 

ou r t est un alea associe au nombre premier p { tel que 0 < r ; < p { , chaque r t 
appartenant a une collection d'aleas {r x , r 2 , ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois. 
Ainsi, le nombre d' operations arithmetiques modulo p ; a effectuer pour 
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calculer chacun des engagements R { pour chacun des p { est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers d; ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

D i = r i • Qi,i d! • Qi,2 d2 - Qi^i, dm mod ft 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p { a effectuer pour 
calculer chacune des reponses D { pour chacun des p { est reduit par rapport a 
ce qu'il serait si les operations etaient effectuees modulo n. 
Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d 'engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de l'authenticite d'une entite 
Dans une premiere variante de realisation le systeme selon 1' invention est 
destine a prouver Tauthenticite d'une entite appelee demonstrates a une 
entite appelee controleur. 

Ledit systeme est tel qu'il comporte un dispositif demonstrates associe a 
l'entite demonstrateur. Ledit dispositif demonstrates est interconnecte au 
dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme comporte aussi un dispositif controleur associe a l'entite 
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controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d 'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres designe 
les moyens de transmission du dispositif demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

• etape 2 : acte de defi d 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir refu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d'engagements R. Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif temoin 
calculent les reponses D a partir des defis d en appliquant le processus 
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specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur. Le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G l5 G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' sG/ 1 . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R'eDV G, dl . G 2 d2 . . . . G m dm . mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re?u. 
cas ou le demonstrateur a transmis l'integralite de chaque engagement 
R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G l9 G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

RbG, dl .G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 
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R = D v / G t dl . G 2 d2 . ... G m dni . mod n . 
Cas de la preuve de I'integrite d'un message 
Dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le systeme selon 1' invention est destine a prouver a une entite 
appelee controleur Tintegrite d'un message M associe a une entite appelee 
demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a Tentite demonstrateur. Ledit dispositif 
demonstrateur est interconnect^ au dispositif temoin par des moyens 
d'interconnexion. II peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
systeme comporte aussi un dispositif controleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit systeme execute les etapes suivantes : 

• etape 1 : acte d 'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant une 
fonction de hachage h ayant comme arguments le message M et tout ou 
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partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. Le dispositif controleur comporte aussi des moyens de 
productions de defis pour produire, apres avoir re?u le jeton T, des defis d 
en nombre egal au nombre d 'engagements R, Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du dispositif controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif temoin 
calculent les reponses D a partir des defis d en appliquant le processus 
specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur. Le dispositif controleur comporte aussi des moyens de 
calcul, ci-apres designes les moyens de calcul du dispositif controleur, 
disposant des m valeurs piibliques Gi, G 2 , ... G m , pour d'une part, calculer 
a partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' s d dl . G 2 d2 . ... G m diw . D v mod n 
ou a une relation du type : 

R' B D v / d dl . G 2 d2 . ... G m dm . mod n 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R\un jeton T\ 
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Le dispositif controleur comporte aussi des moyens de comparison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T* au jeton T recu. 

Signature numerique d'un message et preuve de son authenticity 
Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee a 
l'une et/ou a l'autre des deux autres, le systeme selon l'invention est destine 
a produire la signature numerique d'un message M, ci apres designe le 
message signe, par une entite appelee entite signataire. 
Le message signe" comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D . 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
l'entite signataire. Ledit dispositif signataire est interconnects au dispositif 
temoin par des moyens d'interconnexion et peut se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d 'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'interconnexion. 

• etape 2 : acte de defi d 
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Le dispositif signature comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R. 

• etape 3 : acte de reponse D 
Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif. signataire, via les moyens d' interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci-dessus. 
Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

Operation de controle 
Pour prouver l'authenticite du message M, par une entite appelee 
controleur, controle le message signe. 

Le systeme comporte un dispositif controleur associe a l'entite controleur. 
Ledit dispositif controleur se presente notamment sous la forme d'un 
terminal ou d'un serveur distant. Ledit dispositif controleur comporte des 
moyens de connexion pour le connecter electriquement, 
aectromagnetiquement, optiquement ou de maniere acoustique, notamment' 
via un reseau de communication informatique, au dispositif demonstrates. 
Ledit dispositif signataire associe a l'entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion. Ainsi, le dispositif controleur dispose d'un 
message signe comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 
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- les reponse D. 

Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparison, ci-apres designes les moyens de 
comparison du dispositif controleur. 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, les moyens de calcul et de comparison du dispositif 
controleur verifient que les engagements R, les defis d et les reponses D 
satisfont a des relations du type 

R S G 1 ^G 2 d2 ....G m *».D*modn 

ou a des relations du type : 

R = DVG 1 «".G 2 d2 .... Gm d '».modn 

Puis, les moyens de calcul et de comparison du dispositif controleur 
venfient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
les moyens de calcul du dispositif controleur calculent, a partir de chaque' 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R'-G^.G/*. ...G M *".D*mod n 

ou a des relations du type : 

R'-DVG.-.G,-'. ...G.*-.modn 

Puis, les moyens de calcul et de comparaison du dispositif contr61eur verifie 
que le message M et les defis d satisfont a la fonction de hachage 
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d = h(M,R') 

• cas oii le controleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h(M,R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G I dl .G 2 d ' 2 ....G m d *' n .D v modn 

ou a des relations du type : 

R-DVG/^G 2 d V..G ra d '"\modn 
Cas ou on choisit la valeur privee Q en premier et oil on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le systeme selon I'invention est tel que les 
composantes Q, , , Q ii2 , ... Qi f des valeurs privees Q, sont des nombres 
tir6s au hasard a raison d'une composante Q i(j (Q i(j s Q jmo d Pj ) pour 
chacun desdits facteurs premiers Pj . Lesdites valeurs privees Q, peuvent 
etre calculees a partir desdites composantes Q if , , Q. 2 ... Q. f par la 
methode des restes chinois. Lesdites valeurs publiques G s , sont calculees en 
effectuant des operations du type 

G vi s Qi/modDj 
puis, en appliquant la methode des restes chinois pour etablir G; tel que 

Gj. Qj v s l . mod n ou G; = Q^mod n ; 
Ainsi, le nombre d'operations arithmetiques modulo Pi a effectuer pour 
calculer chacun des G u pour chacun des Pj est reduit par rapport a ce qu'il 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46946 ^ ' PCT/FR00/00188 



serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, Ie systeme selon I'invenhon est tel que 
Texposant public de verification v est un nombre premier. On demontre que 
la securite est equivalente a la connaissance de la valeur privee Q, . 
Ca S ou on choisit la valeur publique G en premier et ou on" deduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1. Ladite valeur publique 
G s est le carre g,- 2 d'un nombre de base gi inferieur aux f facteurs premiers 
Pi, P 2 , ... p f Le nombre de base gi est tel que les deux equations : 

x 2 sgi modn et x 2 s -g. mo dn 
n'ont pas de solution en x dans 1'anneau des entiers modulo n et tel que 
1' equation : . 

x v = gj 2 mod n 
a des solutions en x dans 1'anneau des entiers modulo n . 

Dispositif terminal 
Methode des restes chinois appliquee a la famille GQ 

L'invention conceme aussi un dispositif terminal associe a une entite. Le 
dispositif terminal se presente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire a microprocesseur. Le 
dispositif terminal est destine a prouver a dispositif controleur : 

- 1'authenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Qm et publiques G,, G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
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Pi j P2> ••• p r (f etant superieur ou egal a 2), 
- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type: 

Gj . Qj v ■ 1 . mod n ou Gj s Q^mod n . 

Ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers Pi et/ou les parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou les m 
valeurs privees Q f et/ou les f.m composantes Q i(j ( Qi> , s Q jmo d Pj ) des 
valeurs privees Q.et de l'exposant public v. Le dispositif temoin comporte 
aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin. 

Les moyens de calcul permettent de calculer des engagements R dans 
l'anneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

Ri = iVmod ^ 

ou r s est un alea associe au nombre premier Pi tel que 0 <-r, < Pi , chaque r, 
appartenant a une collection d'aleas {r, , r 2 , ... r f } produits par lis moyens 
de production d'aleas, puis en appliquant la methode des restes chinois. 
Ainsi, le nombre d'operations arithmetiques modulo Pi a effectuer pour 
calculer chacun des engagements R ( pour chacun des Pi est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d, 
chaque defi d comportant m entiers d, ci-apres appeles defis elementaires ; 
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- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque def, d une 
reponse D en effectuant des operations du type : 

Di-n.Q./'.Q./^ .. Qi ^d mmodp 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo Pi a effectuer pour 
calculer chacune des reponses D< pour chacun des Pi est reduit par rapport a 
ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D). 

Cas de la preuve de I'authenticite d'une entite 
Dans une premiere variante de realisation, le dispositif terminal selon 
Invention est destine a prouver I'authenticite d'une entite appelee 
demonstrateur a une entite appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associe a 1'entite demonstrateur. Ledit dispositif demonstrateur est 
interconnecte au dispositif temoin par des moyens d 'interconnexion. II peut 
se presenter notamment sous la forme de microcircuits logiques dans un 
objet nomade par exemple sous la forme d'un microprocesseur dans une 
carte bancaire a microprocesseur. 

Ledit dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, 61ectromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un rdseau de communication 
informatique, a un dispositif controleur associe a 1'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 
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• etape 1 : acte d 'engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrates, via les 
moyens ^'interconnexion. Le dispositif demonstrates comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrates, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

• etape 2 et 3 : acte de defi d, acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrates et via les moyens 
d'interconnexion entre le dispositif demonstrates et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specif.e ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrates transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

Cas de la preuve de 1'integrite d'un message 
Dans une deuxieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif terminal selon 1'invention est 
destine a prouver a une entile appelee controleur 1'integrite d'un message M 
associe a une entite appelee demonstrates. Ledit dispositif terminal est tel 
qu'il comporte un dispositif demonstrates associe a l'entite demonstrates. 
Ledit dispositif demonstrates est interconnecte au dispositif temoin par des 
moyens d'interconnexion. II peut se presenter notamment sous la forme de 
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microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
d.spositif demonstrates comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
mamere acoustique, notamment via un reseau de communication 
informative, a un dispositif controleur associe a 1'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les &apes suivantes : 

• etape 1 : acte d 'engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en applicant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• etape 2 et 3 : acte de defi d, acte de reponse 
Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, applicant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission ci- 
apres designes les moyens de transmission du demonstrateur pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. 

Ledit dispositif contr61eur produit, apres avoir recu le jeton T, des defis d 
en nombre egal au nombre d'engagements R. 

Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
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d'interconnexion entre le dispositif demonstrates et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci-dessus. 

• etape 4 : acte de controle 
Les moyens de transmission du demonstrates transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

Signature numerique d'un message et preuve de son authenticite 
Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres, le dispositif terminal selon 1'invention est destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 
- les reponses D. 

Ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a 1'entite signataire. Ledit dispositif signataire est interconnecte au 
dispositif temoin par des moyens d'interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, 61ectromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleur associe a 1'entite 
contrdleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 
• etape 1 : acte d 'engagement R 
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A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designeVles moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d'interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d 'engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d recoivent les defis d provenant du 
dispositif signataire, via les moyens d'interconnexion. Les moyens de calcul 
des reponses D du dispositif temoin calculent les reponses D a partir des 
defis d en appliquant le processus specifie ci-dessus. Le dispositif temoin 
comporte des moyens de transmission, ci-apres designes les moyens de 
transmission du dispositif temoin, pour transmettre les reponses D au 
dispositif signataire, via les moyens d'interconnexion. 

Dispositif contrdleur 
Methode des restes chinois appliquee a toute la famille GQ 
L'invention concerne aussi un dispositif contrdleur. Le dispositif controleur 
peut se presenter notamment sous la forme d'un terminal ou d'un serveur 
distant associe a une entite controleur. Le dispositif controleur est destine a 
prouver a un serveur controleur : 

- l'authenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
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ou derives de ceux-ci: 

- m couples de valeurs privees Q l5 Q 2 , ... Q m et publiques G ls G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi? P2> ••• Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations du 
type: 

Gj . Qi v e 1 . mod n ou Gj = Q^mod n ; 

ou Qj designe une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique G { . 

Cas de la preuve de 1 'authenticity d'une entite 
Dans une premiere variante de realisation, susceptible d'etre combinee avec 
les autres, le dispositif controleur selon l'invention est destine a prouver 
P authenticity d'une entite appelee demonstrates a une entite appelee 
controleur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Tentite demons trateur. 
Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etape 1 et 2 : acte d'engagement R, acte de defi 
Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir regu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d'engagements R, chaque defi d comportant 
m entiers d t , ci-apres appeles defis elementaires. 
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Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion. 

• etapes 3 et 4 : acte de reponse, acte de contrdle 
Le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designed les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont recus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gj, G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R'-G 1 d, .G 2 d2 ....G ni dm .D v modn 
ou a une relation du type, 

R'HD v /G 1 dl .G 2 d2 ....G ra dm .modn. 

Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R recu. 
Dcuxieme cas : le demonstrateur a transmis l'integralite de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont recus 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif contr61eur, disposant des m valeurs publiques 
G„ G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
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du type : 

R*G, dl .G 2 d2 ....G m dm .D"modn 

ou a une relation du type, 

R s D v / G, a, .G 2 d2 ....G m dn \inodn. 
Cas de la preuve de I'integrite d'un message 
Dans une deuxieme variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif controleur selon l'invention est destine a 
. prouver I'integrite d'un message M associe a une entite appelee 
demonstrateur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a l'entite demonstrateur. 
Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi 

Ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir recu le jeton T, defis d en nombre egal au 
nombre d'engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis 61ementaires. Le dispositif contr61eur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
dispositif controleur, pour transmettre les defis d au demonstrateur, via les 
moyens de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 

Le dispositif controleur comporte des moyens de reception des reponses D 
provenant du dispositif demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif controleur, disposant des m valeurs 
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publiques G„ G 2 , ... G m , pour cPune part, calculer a partir de chaque defi d 
et de chaque reponse D un engagement reconstruit R' satisfaisant a une 
relation du type : 

R'^G, d, .G 2 d2 ....G m dm .D v modn 

ou a une relation du type : 

R , aDVG 1 d, .G 2 d2 ....G in dni , modn 

puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R\ un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T 9 au jeton T re?u. 

Signature numerique d'un message et preuve de son authenticity 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif controleur selon Tinvention est 
destine a prouver l'authenticite du message M en controlant, par une entite 
appelee controleur, le message signe. 

Le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D . 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associe a l'entite signataire. Ledit 
dispositif controleur re$oit le message signe du dispositif signataire, via les 
moyens de connexion. 
Le dispositif controleur comporte : 
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- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas oii le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas oii le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, les moyens de calcul et de comparaison du dispositif 
controleur verifient que les engagements R, les defis d et les reponses D 
satisfont a des relations du type 

R = G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

RhDVG, dl .G 2 d2 . ... G m dm . mod n 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
les moyens de calcul du dispositif controleur calculent, a partir de chaque 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R' = G, dl . G 2 d2 . ... G m dm . D v mod n 

ou a des relations du type : 

R'-DVG, dl .G 2 d2 ....G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas ou le controleur dispose des engagements R et des reponses D 
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Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h(M,R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G/^G 2 d ^...G m dm .D v modn 

ou a des relations du type : 

R-DVG, d \G 2 d '^. G m d n \ modn 
Description detaillee de la variante de realisation dans le cas oil 
Pexposant public v = 2 k 
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Description 

Rappelons l'objectif de la technologie GQ : l'authentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel & la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
numerique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de V invention porte 
plus precisement sur rutilisation des ieux de cles GQ2 dans le cadre de 
l'authentification dynamique et de la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport a la technologie RSA ; d'autre 
part, eviter les problemes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour l'entite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1 , disons m petits nombres entiers (m s> 1) appeles « nombres de 
base » et notes par g h Les nombres de base etant fixes de g { a g m avec 
m s> 1 , une cle publique de verification (v, n) est choisie de la maniere 
suivante. L'exposant public de verification v est 2* ou k est un petit nombre 
entier plus grand que 1 (k s= 2). Le module public n est le produit d'au 
moins deux facteurs premiers plus grands que les nombres de base, disons/ 
facteurs premiers (fa2) notes par pp de p { ... pj. Les /facteurs premiers 
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sont choisis de facon a ce que le module public n ait les proprietes suivantes 
par rapport a chacun des m nombres de base de g, a g m . 

- D'une part, les equations (1) et (2) n'ont pas de solution en x dans 
l'anneau des entiers modulo n, c'est-a-dire que g, et -g,- sont deux residus 
non quadratiques (mod n). 

x 2 =g ( (mod n) (i) 
x 2 = - gi (mod n) (2) 

- D'autre part, l'equation (3) a des solutions en x dans l'anneau des entiers 
modulo n. 

x 2 = gf (mod n) (3) 
La cle publique de verification (v, n) etant fixee selon les nombres de base 
de 8 1 a g m avec m s 1, chaque nombre de base g, determine un couple de 
valeurs GQ2 comprenant une valeur publique G, et une valeur privee £), : 
soit m couples notes de G, £>, a G m Q m . La valeur publique G, est le carre du 
nombre de base g, : soit G, = g, 2 . La valeur privee Q, est une des solutions a 
liquation (3) ou bien l'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en /facteurs premiers, l'anneau 
des entiers modulo n se decompose en /corps de Galois, de CGO,) a 
CGOv). Voici le s projections des equations (1), (2) et (3) dans CG(p}. 

x 2 = gi (mod pj) (i.a) 

x 2 = - gi (mod pj) (2.a) 

x 2 =gf (mod pj) (3 .a) 

Chaque valeur privee £>, peut se representer de maniere unique par / 
composantes privees, une par facteur premier : Q u = Q i (mod pj). Chaque 
composante privee Q u est une solution a l'equation (3.a) ou bien l'inverse 
(mod pj) d'une telle solution. Apres que toutes les solutions possibles a 
chaque equation (3 .a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Q t a 
partir de/composantes de Q ix a Q if : Q t = Restes Chinois (Q u ,Q a , ... Q t/ ) 
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de maniere a obtenir toutes les solutions possibles a F equation (3). 
Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux a et ft tels que 0 < a < ft, et deux composantes X a de 0 a 
a-\ et X b de 0 a ft-1 ; il s'agit de determiner X = Restes Chinois (X a , X b ), 
c'est-a-dire, le nornbre unique X de 0 a a.b-l tel que X a s X(mod a) et 
X b sX(mod ft). Voici le parametre des restes chinois : a = {b (mod a)}~ [ 
(mod a). Voici Toperation des restes chinois : e = X b (mod a) ; 5 = ; si 
6 est negatif , remplacer S par &f a ; y b a . 6 (mod a) ; X = y . ft + X b . 
Lorsque les facteurs premiers sont ranges dans l'ordre croissant, du plus 
petit /7j au plus grand p f9 les parametres des restes chinois peuvent etre les 
suivants (il y en a/-l, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a= {p 2 (mod p x )}' x (mod p x ). 
Le second parametre des restes chinois est fi= {p { p 2 (mod p 3 )} _1 (mod p 3 ). 
Le i ieme parametre des restes chinois est A = {pi.p 2 - — Pi i (mod pi)y { 
(mod p^. Et ainsi de suite. Ensuite, en f-l operations des restes chinois, on 
etablit un premier resultat (mod p 2 fois p x ) avec le premier parametre, puis, 
un second resultat (mod p x .p 2 fois /? 3 ) avec le second parametre, et ainsi de 
suite, jusqu'a un resultat (modp,. ... p fJ fois p f ), c'est-a-dire, (mod n). 
II y a plusieurs representations possibles de la cle privee GQ2, ce qui traduit 
le polymorphisme de la cle privee GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes a la connaissance de la 
factorisation du module n qui est la veritable cle privee GQ2. Si la 
representation affecte bien le comportement de Tentite qui signe ou qui 
s'authentifie. elle n'affecte pas le comportement de l'entite qui controle. 
Voici les trois principales representations possibles de la cle privee GQ2. 
1) La representation classique en technologie GO consiste a stocker m 
valeurs privees Q t et la cle publique de verification (v, n) ; en technologie 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
representation optimale en termes de charges de travail consiste a stocker 
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Texposant public v, les/ facteurs premiers p p m/composantes privees Q u 
et/-l parametres des restes chinois. 3) La representation optimale en 
termes de taille de cle privee consiste a stocker l'exposant public v, les m 
nombres de base g, et les /facteurs premiers p j9 puis, a commencer chaque 
utilisation en etablissant ou bien m valeurs privees <2, et le module n pour se 
ramener a la premiere representation, ou bien m/composantes privees Q x 
et/-l parametres des restes chinois pour se ramener a la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de g l a g m 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la securite du mecanisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
module, la technologie GQ2 ne permet pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui 
s'authentifie ou signe dispose de son propre module GQ2. Toutefois, on 
peut specifier des modules GQ2 a quatre facteurs premiers dont deux sont 
connus d'une entite et les deux autres d'une autre. 

Voici un premier jeu de cles GQ2 avec k = 6, soit v = 64, m = 3, soit trois 

nombres de base : g x = 3, g 2 = 5 et g 3 = 7, et / = 3, soit un module a trois 

facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 

g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 

p, = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

p 2 = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

p 3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

" = A ■ Pi -Pi = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

Q u = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

<2 2 ,i = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 
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= 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
Q l2 = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
Q 22 = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
Qi 2 = FDC4 A8E5 3E 1 85 A4B A7 93E93 BEE5C636D A73 1 B DC A4E 
0 U = 07BC1 AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
Q 22 = 0AE8551E1 16A3AC089566DFDB3AE003CF174FC4E4877 

= 01682D490041913A4EA5B80D16B685E4A6DD88070501 
0, = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E2252 1 B5 10B64454FB7 A 1 9AEC8D06985558E764C699 1B05FC2A 
C74D9743435AB4D7CF0FF6557 

Q 2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE67353 A5BC3 1 6C093 

03 = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 
AD9DC50249C343 1 29 1 5E559 1 7 A 1 ED4D83 A A3D607E3EB 5C8B 1 97 
697238537FE7 AO 1 95C5E8373EB74D 

Voici un second jeu de cles GQ2, avec k - 9, soit v = 5 12, m = 2, soit deux 
nombres de base : g, = 2 et g 2 = 3, et/= 3, soit un module a trois facteurs 
premiers congrus a 3 (mod 4). 

p x = 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

p 2 = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 

p 2 = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 

" = Pi • Pi ■ Pi = FFFF540 1 ECD9E537F1 67A80C0A9 1 1 1 986F7A8EBA4D 

6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73AOC49 
761 B276A8E6B6977A21 D5 1 669D039F1 D7 

Q,., = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
0 2J = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
0 U = 02DOB4CC95A2DD435DOE22BFBB29C59418306F6CD00A 
Q 22 = 045ECB881387582E7C556887784D2671CA1 18E22FCF2 
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Q u = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
Q li = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
0, = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 
EDDA092D0CF 1 08DOAB708405DA46 

Q 2 = 230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B266 1 E49DF3C9B42FEF1 F37 A7909B 1 C2DD54 1 1 3 ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 
Authentification dynamique 

Le mecanisme d' authentification dynamique est destine a prouver a une 
entite appelee contrdleur l'authenticite d'une autre entite appelee 
demonstrateur ainsi que l'authenticite d'un eventuel message associe M, 
de sorte que le contrdleur s'assure qu'il s'agit bien du demonstrateur et 
eventuellement que lui et le demonstrateur parlent bien du meme message 
M. Le message associe M est optionnel, ce qui signifie qu'il peut etre vide. 
Le mecanisme d' authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de defi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le contrdleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on peut isoler un temoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon l'une des trois representations evoquees ci-dessus : • les / 
facteurs premiers et les m nombres de base, • les w/composantes privees, 
les/facteurs premiers et/-l parametres des restes chinois, • les m valeurs 
privees et le module n. 

Le temoin peut correspondre a une realisation particuliere, par exemple, 
• une carte a puce reliee a un PC formant ensemble le demonstrateur, ou 
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encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulierement proteges au sein d'une carte a 
puce. Le temoin ainsi isole est semblable au temoin defini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble {R, d, D} constitue un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrates dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le controleur dispose du module n et des parametres k et m ; le cas echeant, 
il dispose egalement de la raeme fonction de hachage et d'un message AT. 
Le controleur est apte a reconstituer un engagement R' a partir de n'importe 
quel defi d et de n'importe quelle reponse D. Les parametres k et m 
renseignent le controleur. Faute d'indication contraire, les m nombres de 
base de g, a g m sont les m premiers nombres premiers. Chaque defi d doit 
comporter m defis elementaires notes de d x a d m : un par nombre de base. 
Chaque defi elementaire de d x a d m doit prendre une valeur de 0 a 2* _l -l (les 
valeurs de v/2 a v-1 ne sont pas utilisees). Typiquement, chaque defi est 
code par m fois £-1 bits (et non pas m fois k bits). Par exemple, avec k = 6 
et m = 3 et les nombres de base 3, 5 et 7, chaque defi comporte 15 bits 
transmis sur deux octets ; avec k = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les (k-l)m 
deTis possibles sont egalement probables, la valeur (k-\),m determine la 
securite apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2 ( *- ,)jn . Lorsque (£-l).m vaut de 15 a 20, un triplet suffit a assurer 
raisonnablement 1'authentification dynamique. Pour atteindre n'importe 
quel niveau de securite, on peut produire des triplets en parallele ; on peut 
egalement en produire en sequence, c'est-a-dire, repeter 1'execution du 
mecanisme. 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46946 



40 



PCT/FR00/00188 



1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs privees de Q { a Q m et du module /?, 
il tire au hasard et en prive un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), il transforme chaque alea r en un 
engagement R. 

R = r v (mod/7) 
Voici un exemple avec le premier jeu de cles avec k = 6. 
r = B8AD426ClAC0165E94B894AC2437ClB1797EF562CFA53A4AF8 
43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
919967C3E2FB4B4566088E 

R = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
D3AF07BE692CB 1 FE4EE70FA77032BECD84 1 1 B8 1 3B4C2 12 1 0C6B04 
49CC4292E5DD2BDB00828AF18 

Lorsque le temoin dispose des / facteurs premiers de p { a p f et des mf 
composantes privees Q ij9 il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r 4 - par facteur 
premier^ (0 < r, < pi) ; puis, par k elevations successives au carre (mod /?,), 
il transforme chaque alea r ( en une composante d'engagement R h 

^ = n (mod ft) 
Voici un exemple avec le second jeu de cles avec k = 9. 
r, = B0418EABEBADF0553A28903F74472CD49EE8C82D86 
R x = 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 
r 2 = 75A8DA8FE0E60BD55D28A218E31347732339F1D667 
R 2 = 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 
r 3 = 0D74D2BDA5302CF8BE2F6D406249D148C6960A7D27 
R 3 = 06E14C8FC4DD312BA3B475F1F40CF01 ACE2A88D5BB3C 
Pour chaque collection de /composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d 'engagements que de collections d'aleas. 
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R = Restes Chinois(/? ( , R 2j . . . R f ) 

R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 
D3FC8395CFA 1 AD7FC0F9DAC 1 69A4F6F1 C46FB4C3458D1E37C9 
9 1 23B56446F6C928736B 1 7B4B A4A529 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 
chaque engagement /?, ou bien, un code de hachage H obtenu en hachant 
chaque engagement R et un message M. 

2) L'acte de defi consiste a tirer au hasard un ou plusieurs defis d 
composes chacun de m defis elementaires d x d 2 ... d m ; chaque defi 
elementaire d { prend l'une des valeurs de 0 a v/2-1 . 

d = d { d 2 ... d m 

Voici un exemple pour le premier jeu de cles avec k = 6 et m = 3. 

d x = 101 10 = 22 = 4 16' ; d 2 = 001 1 1 = 7 ; d 3 = 00010 = 2, 
rf = 0 | | d { | | d 2 | | ^3 = 01011000 11100010 = 58 E2 

Voici un exemple pour le second jeu de cles avec k = 9 et m = 2. 

d = d x | | d 2 = 58 E2 = soit en decimal, 88 et 226 

Le controleur transmet au demonstrateur chaque defi d. 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin dispose des m valeurs privees de Q { a Q m et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d'engagementet les valeurs privees selon les defis elementaires. 

X = Q? i .Ql 2 ...Q d m » (mod«) 
D = r.X (mod n) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 

5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 
A2C6A290273479FEC9 1 7 1 990 A 1 7 

Lorsque le temoin dispose des / facteurs premiers de p t a p f et des m.f 
composantes privies Q iJt il calcule une ou plusieurs collections de / 
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composantes.de reponse en utilisant chaque collection d'aleas de l'acte 
d'engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

x i'Qf}$}~Qt m j (mod A ) 
A-bij-JT,. (mod/?,) 
Voici un exemple pour le second jeu de cles. 
A = .<2 2 /(mod/7 1 ) = 

02660ADF3C73B6DC 1 5E 1 96 1 52322DDE8EB5B35775E38 
D 2 = r 2 .Q l2 dl .g 2 ^(modp 2 ) = 

04C15028E5FD1 175724376C1 1BE77052205F7C62AE3B 
^3 = /- 3 -fii/' .Q 2 / 2 (modp 3 ) = 

O903D2OD0C306C8EDA9D8FB5B3BEB55EO61AB39CCF52 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(£>, , D 2 , . . . D f ) 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF530F8402BD9C5 1 1 F5FB3B3 A309257A00 
1 95 A7305C6FF3323F72DC 1 AB 

Dans les deux cas, le demonstrates transmet chaque reponse D au 
controleur. 

4) L'acte de contrdle consiste a controler que chaque triplet {R, d, D} 
verifie une equation du type suivant pour une valeur non nulle . 

m m 

G^^D 2 (mod/7) oubien R = D 2 Hg?' (mod n) 

ou bien, a retablir chaque engagement : aucun ne doitetre nul . 

- R'sD 2 /Y\G?< (mod n) 0 ubien R^D^flGp (mod n) 
i'=i ,=i 

Eventuellement, le controleur calcule ensuite un code de hachage H ' en 
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hachant chaque engagement retabli R> et un message M'. L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a recu a 
Tissue de l'acte d'engagement, c'est-a-dire, tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sequence d'operations elementaires transforme la reponse 
D en un engagement R>. La sequence comprend k carres (mod n) separes 
par k-\ divisions ou multiplications (mod n) par des nombres de base. Pour 
la / ieme division ou multiplication, qui s'effectue entre le / ieme carre et le 
/+1 ieme carre, le / ieme bit du defi elementaire d, indique s»il faut utiliser 
5„ le i ieme bit du defi elementaire d 2 indique s'il faut utiliser g 2 , ... 
jusqu'au / ieme bit du defi elementaire d m qui indique s'il faut utiliser g m . 
Voici un exemple pour le premier jeu de cles. 

1)2 (mod n ) _ 

FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 

^ 2B93948715491F0EB091B7606CA1E744E0688367D7BB998F7B73D5F7 
FDA95D5BD6347DC8B978CA217733 

3 . D 2 (mod n) = F739B70891 1 166DFE715800D8A9D78FC3F332FF622D 

3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 
987041B4852890D83FC6B48D3EF6A9DF 

3 2 . £> 4 (mod n) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 

92DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF 
8826635790743EA7D9A15A33ACC7491D4A7 

3 4 . D s (mod n) = BE9D828989A2C184E34BA8FE0F38481 1642B7B548F 

87O699E7869F8ED851FC3DB383OB2400C516511A0C28AFDD210EC3 
939E69D4 1 3F0B ABC6DEC44 1 974B 1 A29 1 

3 s . 5 . D 8 (mod n) = 2B40122E225CD858B26D27B768632923F2BBE5 
DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 
4AC1E89C2235C363830EBF4DB42CEA3DA98CFE00 



(mod n ) 
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BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C93 1 C66F6C7509B 1 1 8E3C 1 628 1 1 A98 1 69C30D4DEF768397DD 

B8F6526B6714218DEB627E11FACA4B9DB268 

3 ' 1 - 5 3 . 7 . D x 6 (mod „ ) = 
DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13D02AB0FA5F8C8DDB5025E34282311CEF80BACDCE5D0C433444 

A2AF2B 153 18C36FE2AE02F3C8CB25637C9AD712F 

3 22 . 5 6 . 7 2 . D 32 (mod n) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5D09A2278F8FEE1DFD94EE84D09D000EA8633B53C4A0E7F0A 
EECB70509667A3CB052029C94EDF276 1 1 FAE286A7 
3 2 2 • 5 7 . 7 2 . D 3 2 (mod R ) = 
DE40CB6B4 1 CO 1 E722E4F3 1 2AE7205F1 8CDD 

O3O3EA52261CB0EA9FOC7E0CD5EC53D42E5CB645B6BB1A3B0OC77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

3" . 5 14 . 7 4 . D 64 (mod «), c'est-a-dire, 3 2C . 5 E . 7 4 . D 40 (mod ») avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB 1FE4EE70FA77032BECD841 1B813B4C 

2 1 2 10C6B0449CC4292E5DD2BDB00828 AF1 8 

On retrouve bien l'engagement R. L'authentification est reussie. 

Voici un exemple pour le second jeu de cles. 

D 2 (mod n) = C66E585D8F132F7067617BC6D00BA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 
693F8395ACEF9206B 172A8A2C2CCBB 

3 . D 2 (mod n) = 534C61 14D385C3E15355233C5B00D09C2490D1B8D8E 
D3D592 1 3CB 83EAD4 1 C309A 1 875 1 9E5F50 1 C4A45C37EB2FF38FBF20 
1D6D138F3999FC1D06A2B2647D48283 

3 2 . Lf (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC 1 DDE0EB2 1 F6F65978BE477C423 1 AC9B 1 EBD93D5D49422408E47 
1 59 1 9023B 1 6BC3C6C46 A92BBD326A ADF 
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2 . 3 3 . Z) 4 (mod ri) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 

3F2BA4C12B0A8496A0148B4DFBAFE838E0B5A7D9FB4394379D72A 

107E45C51FCDB7462D03A35002D29823A2BB5 

2 2 . 3 6 . D 8 (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 
652 1 F305F1 2C5DB054D4E 1 BF3 A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1A0D5A721A189ODO3A00BD8 

2 2 . 3 7 . D 8 (mod n) = E4632EC4FE4565FC4B3126B15ADBF996149F2D 

BB42F65D9 1 1 D385 1 9 1 0FE7EA53DAEA7EE7B A8FE9D08 1 DB78B249 

B 1 B 1 88806 1 6B90D4E280F564E49B270AE02388 

2 4 . 3 14 . D i6 (mod n) = ED3DDC7 1 6AE3D 1 EA74C5 AF935DE8 1 4BCC 

2C78B 1 2 A6BB29FA542F998 1 C5D954F53D 1 53B9F0 1 98B A82690EF 

665C 1 7C399607DEA54E2 1 8C2C0 1 A890D422ED A 1 6FA3 

2 s • 3' 4 . Z)' 6 (mod n ) 

DA7C64E0E8EDBE9CF823B7 1 AB 13F 1 7E1 161487 

6B000FBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562D0F5 

7AE94AE0AD3F35C6 1 C0892F4C9 1 DC0B08ED6F 

2 io 328 £32 {mod n) _ 6ED6AFC5A87D2DD1 17B0D89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D 

722F 1 7DA30088E6E739FBC41 9FD7282D 1 6CD6542 

2" . 3*" . D 32 (mod n) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB 1 ECB6D432CFCC40FA95B77464003 A705 1 46A0D364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

2 22 3 56 ^64 (mod w) _ A466D0CB17614EFD961000BD9EABF4F021 

36F8307 1 0 1 882BC 1 764DB A ACB7 1 5EFBF5D8309 AE00 1 EB5DED A 

8F0OOE44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

2 44 3112 D .28 (mod n) = 925B0EDF5047EFEC5AFABDC03A8309 19761 

B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 

8FDEC740778BDC 1 78AD7AF2968689B930D5 A2359 

2 44 3113 D .28 (mod n) _ B71 1D89C03FDEA8D1F889134A4F809B3F2D 
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8207F2AD82 1 3D 1 69F2E99ECEC4FE08038900F0C203B55EE4F4C803 
BFB9 1 2 A04F 1 1 D9DB9D07602 1 764BC4F57D47834 
* . d . u (mod n ) = 

' 41 A83F1 1 9FFE4A2F4 AC7E5597 A5D0BEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 
FCC62802 1 B4648D7EF757 A3E46 1 EF0CFF0E A 1 3 

2 I76 3 452 ^ ^512 (mod ^ ^ 9226 ^512 (m()d n) = 

28AA7F12259BFBA8 

1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1 AD7FC0F9D 

AC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA 
4A529 

On retrouve bien l'engagement R. L'authentification est reussie. 
Signature numerique 

Le mecanisme de signature numerique permet a une entite appelee 
signataire de produire des messages signes et a une entite appelee 
controleur de verifier des messages signes. Le message M est une sequence 
binaire quelconque : il peut etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les reponses correspondantes. 
Le controleur dispose de la meme fonction de hachage, des parametres fcet 
m et du module n. Les parametres k et m renseignent le controleur. D'une 
part, chaque defi elementaire, de d { a d m , doit prendre une valeur de 0 a 
2 k ' l -l (les valeurs de v/2 a v-1 ne sont pas utilisees). D'autre part, chaque 
defi d doit comporter m defis elementaires notes de d x a d mJ autant que de 
nombres de base. En outre, faute d' indication contraire, les m nombres de 
base, de g x a g m , sont les m premiers nombres premiers. Avec {k-\)m valant 
de 15 a 20, on peut signer avec quatre triplets GQ2 produits en parallele ; 
avec (k-\) m valant 60 ou plus, on peut signer avec un seul triplet GQ2. Par 
exemple, avec k = 9 et m = 8, un seul triplet GQ2 suffit ; chaque defi 
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comporte huh octets e, ,es no.** d e base son, 2. 3, 5, 7, , , , 13 , ,7 e, 19 
L oper a(lon de s . gnature s , quence ^ (rois ^ ^ ^ 

d e„ age me „,, „ acte de ddfi et un acfc de ^ ^ 
ou pius.eurs triplets 0Q2 comprenant . m ^ 

« - compose de . defis eiementaires note, par „„ ^ ... „ 
reponse£>(*0). 1 une 

L* signature dispose d^une fonction de hachage, du parage k e, de .a c,e 

pnvee OQ2, c'est-a-dire, de ,a f ac tor isa t i„„ du modu.e . seion Tune des 

*» representations evoquees ci-dessus. A» seta du signataire, o„ pe„« 
,o.er un ternoin qui ex&me „. ac(es d m P » 

~ a isoier ies fonctions et ,es parametres ,es p,„s sen les'^ 
demonstrates. Pour caicuier engagement, e, reponses, , e ^ dispose d „ 
P— k » de de privfc GQ2, c-est-a-dire, de ia facial, 
modu, e „ seI rune des (rois repr , sentaljons <voqufes 

" amS ' ' SOle CSt ™ k au *»* deflni au seta du demonstrates 

!:rr pondre p une * aiisa,ion 

a puce rel.e, a un PC forman, ensembie ,e signataire, „„ encore, . des 
programmes paniculierement proteges au sei„ d'un PC, ou encore • des 
programmes particulierement proteges au sein d'une carte a puce ' 
1) L'acte d'engagement eomprend les operations suivantes 
Ursque .e temoin dispose des „ valeurs privees de fi, a Q . et du moduie n 
■re au hasard et en prive u„ ou piusieurs aleas r ( 0<r<n); puis par * 

'evattons " ^ <™" «>• « -forme Caque a,L /I 

engagement /?. 

R = r v (mod 77) 

Lorsque le t^oin dispose des/ facteurs premiers de p, a „ et des n, f 
com privees fl , i. tire au h asard e, en privell £Z 

coiiecons de/aie. : cnaque couection comporte un aiea „ pa! facj 
premier />,. (0 < , ( < ft) . puis> par , a<valjons ^ ^ ^ ^ 
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il transforme chaque alea r, en una compose d'engagemen, 

&i = /;•" (mod p.) 
Pour chaque collection de/composa„tes d'engagement, fc ^ 
engagement selon ,a technique des res.es chinois. N y a autant 
d engagements que de collections d'aleas. 

R = Restes Chinois^, , /? 2 , . . . fy) 
2) L-acte de defi consiste a hacher tous .es engagements R et le message a 
s^ner A, pour obtenir u „ code de hachage » parlir duque , „ 
forme u„ ou pius.eurs defis comprenant chacun „ defis elementaires • 
chaque defi elemental, prend u„e valeur de 0 a v/2-, ; par exemple, avec' 
* - » « » - 8, chaque defi comporte hui, octets, n y . autant de d , fis 
d engagements. 4 

= </, d 2 ... d m , extraits du resultat Hash(M, /?) 
3) L'acte de reponse comporte les operations suivantes 
Lorsque la temoin dispose des „ valeurs privees de Ql a Qm et du modu]e „ 
il calcule une ou P ,usieurs reponses D en utilisant chaque alea r de Tacte 
d engagement et les valeurs privees selon les defis elementaires 

X^Qf'-Qt 2 ..^ (mod*) 
D = r.X (mod n) 

Lorsque le temoin dispose des / facteurs premiers de Pl a p , « des m/ 
composantes privees Q„ i, cal c„, e une „„ p.^ieurs ejections de / 
composites de reponse en u,i,isa„ t chaque Election d'aleas de Tacte 
d engagement : chaque coUection de composantes de reponse comporte une 
composante par facteur premier. 

X i*Qf}4t}~42b (mod/,,.) 
D i=n-X; (mod/,,.) 
Pour chaque collection de composantes de reponse, le temoin etab.it une 
repose selon la technique des restes chinois. II y a autant de reponses que 
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D = Restes Chinois(D, , Z) 2 , D f ) 
Le signature si g„e , e message M en ,„i adjoignant u „ , ' de 
signature comprenant : 

- ou bien, chaque triplet G02 c'est-f> 

at ; u est-a-dire, chaque engagement R, chaque 

deri d et chaque reponse D, 

- ou bien, chaque engagement R e, chaque reponse D correspondante 

- oub.en, chaque d«irfe, chaque -eponse Z> correspondante 

Le de r , de ,, op , ratl . on de vWflcaHon dspend ^ Mn 

1 appe„d,ce de signature. On distingue les trois cas 

Au cas ou Pappendice c. mpraid un on plusieurs , 

co** c„ mpor te deux processus i„depe„da„,s don, ,a chronoiogie es, 

.nd. ff e re „ te . Le contour accepte !e message sign, si e t seuienJsi ies 

deux conditions suivantes sont remplies. 

Dune pan, chaque tripie, doi, toe coherent (une rciation approve du 
type sutvant doi, e,re verifiee, e, reeevabie (,a comparaison doit se faire sur 
une valeur non nulle). 

m 

t^Gt'.D* (mocU) oubien W\rj C /, (mod n) 
Parexempie, on .ransforme I. reponse D par une silence d'opcrations 

" "* (m ° d ^ " « Visions 

(mod .) par des nombres de base. Pour ia i ,eme muUipiication ou division 
qu, s effecue en,re ,e , ieme carre e, ie M ieme carre, ,e , ieme bit du defi 
e,eme ntelre , indique , a ^ ^ ^ fe f ^ ^ ^ ^ 

« .nd^ue s „ fan, „,i, iser g! , ... jusqu , au , ^ ^ du ^ ^ 

qu, .nd.que .•„ faut utiiiser s „. On doit ainsi retrouver chaque engageme^ 
R present dans l'appendice de signature 

D^autre par,, „ ou ,es tripiets doiven, e,re au message A,. E„ hach a„ t 
tous ies engagement R e, ,e message J,, on ob,ie„t un code de hachage a 
parUr duquel on doit retrouver chaque defi d. 
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d -*i * ... d m , identiques a ceux extraits du resultat Hash(M R) 
Au cas ou Pappendice „e comprend pas de defi, reparation de controle 
commence par la reconstitute de un ou plusieurs defis d' en hachant tous 
Jes engagements R et le message M. 

d ' = d\ d\... d' m , extraits du rdsultat Hash(M R) 
Ensuite, le c„„tr61eur accepte le message signe si e. seulement si chaque 
inplet est coherent (u„e relation appropriee du tyP e suivant est verify) e. 
recevable (ia comparison se fait sur une valeur non nulle). 

X-ljGr.D (mod„) oubien R = D 2 '.f[ C f, (m od n ) 

Au cas „„ rappendice „e comprend pas d'engagerL, Potation de 
controle commence par la reconstitute de „„ „„ p , usieurs engagements «• 
selon une des deux formu.es suivantes, ce.le qui est appropriee. Aucun 
engagement retabli ne doit Stre nul. 

k . m . 

*'-Z> 2 /JJtf (mod„) oubien «',0 2 \]^G*. (mo d „) 

Ensuite, le controleur doi, hacher tous les engagements'*' e, ,e message M 
de facon a reconstituer chaque defis d. 

d = ix di- d„ identiques a ceux extraits du resultat Hash(M 
Le controleur accepte .e message signe si et seulemen. si chaque defi 
reconstitui est identique au defi correspondant figurant en appendice 



Dans !a presente demande, on a montre qu'il existai, des couples de valeurs 
pnvee Q et publique O permettan, de mettre en rcuvre le precede le 
systeme et le dispositif selon .-invention destine a prouver I 'authenticite 
d une entile et/ou Pintegrite et/ou rauthenticite d'un message 
Dans la demande pendante deposee .e meme jour que .a presente demande 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46946 > PCT/FROO/00188 

51 



par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit un precede pour 
produire des jeux de cles GQ2, a savoir, des modules n et des couples de 
valeurs publique G et privee Q dans le cas ou I'exposant v est egal a 2*. Elle 
est incorporee ici par reference. 
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Cette description detaillee de Invention dans le cas ou v = 2* est 
susceptible d'etre generalisee a d'autres valeurs de v. C'est d'ailleurs ce qui 
a ete expose\ en contrepoint aux revendications, dans les premieres pages de 
la description concernant le cas ou v est different de 2*. Pour autant que cela 
soil necessaire, notamment pour des raisons ressortant des regies d'ecriture 
d'une demande de brevet, et qu'il faille egalement dans cette partie de la 
description expliciter 1'invention dans le cas ou v est different de 2 k , les 
premieres pages de la description seront egalement supposees avoir ete 
inserees a la suite de ce paragraphe. 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46946 PCT/FROO/00188 

53 



Revendications 
1. Procede destine a prouver a une entite" controleur, 

- l'authenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q ro e t publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2» ••• Pr (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type: 

Gi . Qi v ■ 1 . mod n ou Gj s Q f v mod n ; 

ledit procede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers Pi et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Q, et/ou des f.m composantes Q u (Q uym Q jm od Pj ) des valeurs 
privees Q f et de I'exposant public v ; 

- le temoin calcule des engagements R dans 1'anneau des entiers 
modulo n ; chaque engagement etant calcule en effectuant des operations du 
type 

Risr^modpi 

ou r, est un alea associe au nombre premier Pi tel que 0 < r { < Pi , chaque r, 
appartenant a une collection d'aleas {r, , r 2 , ... r r } , puis en appliquant la 
methode des restes chinois, 

- le temoin recoit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d, ci-apres appeles defis elementaires ; le temoin calcule a partir 
de chaque defi d une reponse D en effectuant des operations du type : 
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^•Qi^Q^.-.Q^modpi 

puis en appliquant la methode des restes chinois ; 

ledit precede etant tel qu'il y a autant de reponses D que de defis d que 
^engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note{R,d,D}. F 

2. Procede selon la revendication 1 destine a prouver 1'authenticite 
d one entite appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d 'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de defid 

- le c„„ tr61eur , ^ avoir re?u [ou[ qu pmie ^ 

produ,, des defis d en nombre egal au nombre d'engagements R e, transme, 
les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendicacion 1 , 

• ^tape 4 : acte de controle 

- le demonstrateur transmet chaque reponse D au controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrates a tnmsmis une partie de chaque engagement 
k C ° ntrtleUr - diS P° Sam des m valeurs publiques G„ G„ ... G„. calcule a 
pamr de chaque defi d e. d= chaque reponse D un engagement reconstruit 
R "satisfaisant a une relation du type : 

R' S G/«.G 2 « ...G^-.D^modn 
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ou a une relation du type, 

R' S DVG/'.G 2 JJ .... G m dm . mo dn, 
le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas ou le demonstrateur a transmis I'integralite de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis I'integralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G„ G 2 , ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R S G 1 dl .G 2 d2 ....G m dm .D*modn 

ou a une relation du type, 

R-DVG 1 d, .G 2 d2 ....G m dm .modn. 

3. Procede selon la revendication 1 destine" a prouver a une entite 
appelee controleur Tintegrite d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entiles demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d 'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le controleur, apres avoir regu un jeton T, produit des defis d en nombre 
egal au nombre d 'engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specif^ selon la revendication 1 , 
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• etape 4 : acte de controle 

- le demonstrates transmet chaque reponse D au controleur, 

- Ie controleur, disposant des m valeurs publiques G u G 2 , ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> h G, d! . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R' = D v / G, dl . G 2 d2 . ... G m dm . mod n 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T% 

- puis le controleur verifie que le jeton T est identique au jeton T transmis. 

4. Procede selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

ladite entite signataire execute une operation de signature en vue d'obtenir 
un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ladite entite signataire execute l'operation de signature en mettant en oeuvre 
les etapes suivantes : 

• etape 1 : acte d 'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1 , 

• etape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
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nombre d 'engagements R, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1 . 

5. Procede selon la revendication 4 destine a prouver l'authenticite 
du message M en controlant, par une entite appelee controleur, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R s d dI . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R = D v / Gj dl . G 2 d2 — G m dm . mod n 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

dans le cas ou le controleur dispose des defis d et des reponses D, 

• • le controleur reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 

R' a G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R'-D v / G, dl . G 2 d2 . ... G m dm . mod n 

• • le controleur verifie que le message M et les defis d satisfont a la 
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fonction de hachage 

d = h(M,R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le controleur dispose des engagements R et des reponses D, 

• • le controleur applique la fonction de hachage et reconstruit d' 

d' = h(M,R) 

• • le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R S G 1 d \G 2 d2 ....G ni dm .D v modn 

ou a des relations du type : 

R-DVC^.G,".... G m dm . modn 

6. Procede selon l'une quelconque des revendications 1 a 5 tel que 
les composantes Q i(1 , Q i>2 , ... Q s f des valeurs privees Q i( sont des 
nombres tires au hasard a raison d'une composante Q { j (Q i J = Q,mod pj) 
pour chacun desdits facteurs premiers p j5 lesdites valeurs privees Q, 
pouvant etre calculees a partir desdites composantes Q u , Q i 2 ... Q. f par 
la methode des restes chinois, 

lesdites valeurs publiques G b etant calculees 

• en effectuant des operations du type 

Gy a Q. y mod pj 

• puis en appliquant la methode des restes chinois pour etablir G, tel que 

Gi . h 1 . mod n ou G; s Qi V mod n ; 

7. Procede selon la revendication 6 tel que l'exposant public de 
verification v est un nombre premier, 

8. Procede selon l'une quelconque des revendications 1 a 5 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre & 2 d'un nombre de base g inferieur 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46946 



59 



PCT/FR00/00188 



aux f facteurs premiers p,, p 2 , ... p f ; le nombre de base g { etant tel que : 
les deux equations : 

x 2 Bg|inodn et x 2 = -g im odn 
n'ont pas de solution en x dans l'anneau des entiers modulo n 
5 et tel que : 

Tequation : 

x v = gi 2 mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

9. Sy steme destine a prouver a un serveur controleur, 
10 - l'authenticite d'une entite et/ou 

- 1'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l5 Q 2 , Q m et publiques G u G 2 , ... 
G m (m etant superieur ou egal a 1), 

15 - un module public n constitue par le produit de f facteurs premiers 

Pi, p 2 , ... p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

*° Gj . h 1 . mod n ou Gj s Q^mod n ; 

ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
>5 premiers p 4 et/ou des parametres des restes chinois des facteurs premiers 

et/ou du module public n et/ou des m valeurs privees Q t et/ou des f.m 
composantes Q u (Q i(j = (^mod pj) des valeurs privees Q ; et de 1'exposant 
public v ; 

le dispositif temoin comporte aussi : 
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- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
1'anneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type * 

R s = mod p ; 

ou Tj est un alea associe au nombre premier p t tel que 0 < r ; < p t , chaque r t 
appartenant a une collection d'aleas {r, , r 2 , ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers d { ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

Di - r, . Q u dl . Q ia d2 . ... *™ mod Pi 
puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

10. Sy steme selon la revendication 9 destine a prouver T authenticity 
d'une entite appelee demonstrates a une entite appelee controleur ; 
ledit sy steme etant tel qu'il comporte 

- un dispositif demonstrates associe a 1'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d 'interconnexion et pouvant se presenter notamment sous la forme 
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de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a 1'entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 
ledit systeme permettant d'executer les Stapes suivantes : 

* etape 1 : acte d 'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 

- le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion ; 

* etape 2 : acte de defi d 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d 'engagements R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, 

* etape 3 : acte de reponse D 
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les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrates, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas oii le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G„ G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G, d, .G 2 d2 G m d "\D v modn 

ou a une relation du type, 

R'-DVG, d, .G 2 d2 ....G m dm .modn, 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R regus, 
cas oii le demonstrateur a transmis l'integralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
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de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R s G, dl .G 2 d2 . ... G m dm . D v mod n 

ou a une relation du type, 

R s D v / Gj dl . G 2 d2 . ... G m dm . mod n . 

11. Sy steme selon la revendication 9 destine a prouver a une entite 
appelee controleur l'integrite d'un message M associe a une entite appelee 
demonstrateur, 

ledit sy steme etant tel qu'il comporte 

- un dispositif demonstrateur associe a 1'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnect^ au dispositif temoin par des 
moyens d 'interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a 1'entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquernent, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 
• etape 1 : acte d 'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specif ie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46946 



64 



PCT/FR00/00188 



moyens d' interconnexion ; 

• etape 2 : acte de defi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayarit comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re?u le jeton T, les defis d en nombre egal au 
nombre d'engagements R , 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• etape 4 : acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G„ G 2 , G m , pour d'une part, calculer a partir de 
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chaque defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R> = G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

■R'-DVG,-" .G 2 d2 ....G m dm . mod n 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement . 
reconstruit R', un jeton 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T au jeton T regu. 

12. Systeme selon la revendication 9 destine a produire la signature 
numerique d'un message M, ci apres designe le message signe, par une 
entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte un dispositif signataire associe a 
Tentite signataire, ledit dispositif signataire etant interconnect^ au dispositif 
temoin par des moyens ^'interconnexion et pouvant se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 

# etape 1 : acte d 'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 
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le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'interconnexion; 

* etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d 'engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d , re?oivent chaque defi d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

13. Systeme selon la revendication 11 destine a prouver 
1' authenticity du message M en controlant, par une entite appelee 
controleur, le message signe; 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
l'entite controleur ; ledit dispositif controleur se presentant notamment sous 
la forme d'un terminal ou d'un serveur distant ; ledit dispositif controleur 
comportant des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrates ; 
ledit dispositif signataire associe a Tentite signataire comporte des moyens 
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de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant: 
- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R ^ Gj dl • G 2 d2 . ... G m dm . D v mod n 

ou a des relations du type : 

R s D v / G t dl . G 2 d2 — G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas oil le controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
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chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R> s G, d1 . G a d2 . ... G m dra . D v mod n 
ou a des relations du type : 

R'-DV G, dr . G 2 62 . ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R^G, dl . G 2 d ' 2 . ... G m d ' m . D v mod n 
ou a des relations du type : 

RaDVG, - ' 1 . G 2 ... G m dm . mod n 
14. Systeme selon Tune quelconque des revendications 9 a 13 tel que 
les composantes Q lt i , Q i(2 ? Qi, r des valeurs privees Q it sont des 
nombres tires au hasard a raison d'une composante Q { j(Qi,j = Q s mod pj) 
pour chacun desdits facteurs premiers p j9 lesdites valeurs privees Q ; 
pouvant etre calculees a partir desdites composantes , , Q i 2 ... Q itf par 
la methode des restes chinois, 
lesdites valeurs publiques G ; , etant calculees 

• en effectuant des operations du type 

G y s Qi,j v mod ft 
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• puis en appliquant la methode des restes chinois pour etablir G ; tel que 
Gj . Qi v s 1 . mod n ou Gj = Q^mod n ; 

15. Systeme selon la revendication 14 tel que l'exposant public de 
verification v est un nombre premier, 

16. Systeme selon Tune quelconque des revendications 9 a 13 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G t etant le carre g s 2 d'un nombre de base gj inferieur 
aux f facteurs premiers p b p 2 , ... p f ; le nombre de base gj etant tel que : 

les deux equations : 

x 2 s gjinod n et x 2 = - g s mod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

T equation : 

x v = gj 2 mod n 
a des solutions en x dans l'anneau des entiers modulo n . 

17. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a dispositif controleur, 

- Tauthenticite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G^ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> ?2> Pr (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
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type: 

Gj . Qi v = 1 . mod n ou Gj = Qj v mod n ; 
ledit dispositif terminal comprend un dispositif temoin comportant une zone 
memoire contenant les f facteurs premiers p s et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qi et/ou des f.m composantes Q u (Q itj = Q ; mod pj) des valeurs 
privees Qjet de l'exposant public v ; 
le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
l'anneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

Ri s r ; v mod Pi 

ou Tj est un alea associe au nombre premier Pi tel que 0 < r t < p { , chaque r { 
appartenant a une collection d'aleas {r, , r 2 , ... r f }' produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers d { ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

D i -r i .Q M d, .Q it2 d2 ....Q iini dm mod Pi 
puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 
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il y a autant de reponses D que de defis d que d 'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

18. Dispositif terminal selon la revendication 17 destine a prouver 
F authenticity d'une entite appelee demonstrateur a une entite appelee 
controleur ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a Tentite demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a l'entite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 
• etape 1 : acte d 'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
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via les moyens de connexion, 

• etape 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

19. Dispositif terminal selon la revendication 17 destine a prouver a 
une entite appelee controleur Tintegrite d'un message M associe a une 
entite appelee demonstrateur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a l'entite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a Tentite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 
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- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 

• etape 2 et 3 : acte de defi d, acte de reponse 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

* etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

20. Dispositif terminal selon la revendication 17 destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire, 
le message signe comprenant : 
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- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a l'entite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a l'entite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les e tapes suivantes : 

• etape 1 : acte d 'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d' interconnexion; 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
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nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 
les moyens de reception des defis d re^ivent ies defis d provenant du 
dispositif signataire, via Ies moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent Ies 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

21. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 
destine a prouver a un serveur controleur, 

- Tauthenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi, p 2 , ... p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Gj . Qj V s 1 . mod nouGjB Q^mod n ; 
ou Q; designe une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique G ( . 

22. Dispositif controleur selon la revendication 22 destine a prouver 
Tauthenticite d'une entite appelee demonstrates a une entite appelee 
controleur ; 
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ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a 1'entite demonstrateur; 
ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etape 1 et 2 : acte d 'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d'engagements R, chaque defi d comportant 
m entiers d, , ci-apres appeles defis elementaires 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse, acte de controle 
le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou les moyens de reception du dispositif controleur ont recus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
contrdleur, disposant des m valeurs publiques G„ G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
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R' satisfaisant a une relation du type : 

R'eG, dl .G 2 d2 ....G m dm .D v modn 
ou a une relation du type, 

R'^DVG, dl .G 2 ^...G^.modn, 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re9us, 
cas ou le demonstrateur a transmis Fintegralite de chaque engagement 
R 

dans le cas ou les moyens de reception du dispositif controleur ont re?us 
1'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G l9 G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R s G 1 dl .G 2 d2 ....G m dm .D v modn 
ou a une relation du type, 

R^DVG, dl .G 2 d2 ..,.G m dm .modn. 

23. Dispositif controleur selon la revendication 22 destine a prouver 
l'integrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Tentite demonstrateur; 
ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi 
ledit dispositif controleur comporte aussi des moyens de reception de jetons 
T provenant du demonstrateur, via les moyens de connexion, 
le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re?u le jeton T, des defis d en nombre egal au 
nombre d'engagements R , chaque defi d comportant m entiers, ci-apres 
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appeles les defis elementaires, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrates, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 
le dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrates, via les moyens de connexion, 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, disposant des m valeurs publiques G„ G 2 , ... G m , 
pour d'une part, calculer a partir de chaque defi d et de chaque reponse D 
un engagement reconstruit R' satisfaisant a une relation du type : 

R'*G 1 d, .G 2 d2 ....G m d ™.D v modn 

ou a une relation du type : 

R'-DVG 1 d, .G 2 d2 ....G m dm . modn 

puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R\ un jeton T, 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T recu. 

24. Dispositif controleur selon la revendication 22 destine a prouver 
Tauthenticite du message M en controlant, par une entile appelee 
controleur, le message signe; 

le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 
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- les reponse D ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associe a Tentite signataire ; 
ledit dispositif controleur ayant re9u le message signe du dispositif 
signataire, via les moyens de connexion, 
le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas oii le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = G l dl .G 2 d2 ....G m dm .D v modn 
ou a des relations du type : 

R = DVG 1 dl .G 2 d2 ....G m dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (M, R) 

• cas oii le controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
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chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' sG, dl . G 2 d2 . ... G m dro . D v mod n 
ou a des relations du type : 

R' = DVG 1 d '.G 2 d2 ....G m d ' n . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R S G 1 d ' , .G 2 d ' 2 ....G m d,ro .D v modn 

ou a des relations du type : 

R h D v /G| d, « . G 2 d2 . ... G ro d * m . mod n 
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